CVE-2026-22742: SSRF dans Spring AI, impact sur la sécurité
Plateforme
java
Composant
org.springframework.ai:spring-ai-bedrock-converse
Corrigé dans
1.0.5
La vulnérabilité CVE-2026-22742 est une faille de type Server-Side Request Forgery (SSRF) présente dans Spring AI, plus précisément dans le composant spring-ai-bedrock-converse. Elle se manifeste dans BedrockProxyChatModel lors du traitement de messages multimodaux. Les versions affectées sont les versions 1.0.0 à 1.0.4 et 1.1.0 à 1.1.3. La version 1.0.5 propose un correctif.
Comment corriger
Mettez à jour la bibliothèque Spring AI vers la version 1.0.5 ou supérieure si vous utilisez la branche 1.0.x, ou vers la version 1.1.4 ou supérieure si vous utilisez la branche 1.1.x. Cela corrigera la vulnérabilité SSRF dans BedrockProxyChatModel en validant correctement les URL des médias fournis par l'utilisateur.
Questions fréquentes
Qu'est-ce que CVE-2026-22742 ?
CVE-2026-22742 est une vulnérabilité SSRF dans Spring AI, permettant à un attaquant d'envoyer des requêtes HTTP vers des destinations non prévues.
Suis-je affecté par CVE-2026-22742 ?
Vous êtes affecté si vous utilisez Spring AI dans les versions 1.0.0 à 1.0.4 ou 1.1.0 à 1.1.3 et que vous utilisez le composant spring-ai-bedrock-converse.
Comment puis-je corriger CVE-2026-22742 ?
Mettez à jour votre installation de Spring AI vers la version 1.0.5 ou une version ultérieure pour bénéficier du correctif.
Surveillez vos dépendances automatiquement
Recevez des alertes quand de nouvelles vulnérabilités affectent vos projets.
Commencer gratuitement