Plateforme
java
Composant
org.springframework.ai:spring-ai-neo4j-store
Corrigé dans
1.0.5
1.1.4
1.0.5
La vulnérabilité CVE-2026-22743 affecte la bibliothèque spring-ai-neo4j-store de Spring AI. Elle se manifeste par une injection Cypher due à un défaut de validation des entrées utilisateur dans le convertisseur Neo4jVectorFilterExpressionConverter. Cette faille permet à un attaquant d'injecter du code Cypher malveillant dans les requêtes Neo4j, compromettant potentiellement l'intégrité et la confidentialité des données stockées dans la base de données. Les versions affectées sont celles inférieures ou égales à 1.0.4, et une correction est disponible dans la version 1.0.5.
L'impact de cette vulnérabilité est significatif. Un attaquant capable d'exploiter cette injection Cypher peut exécuter des requêtes arbitraires sur la base de données Neo4j. Cela pourrait permettre de lire, modifier ou supprimer des données sensibles, voire d'obtenir un contrôle total sur la base de données. L'attaquant pourrait également utiliser cette vulnérabilité pour effectuer des mouvements latéraux au sein du réseau, en exploitant les connexions entre la base de données Neo4j et d'autres systèmes. Le blast radius est potentiellement élevé, car la compromission de la base de données Neo4j pourrait affecter l'ensemble de l'application Spring AI et les données qu'elle gère. Cette vulnérabilité présente des similitudes avec d'autres failles d'injection de requête, où un manque de validation des entrées utilisateur permet l'exécution de code malveillant.
La vulnérabilité CVE-2026-22743 a été publiée le 27 mars 2026. Sa probabilité d'exploitation est considérée comme moyenne, en raison de la nécessité d'une connaissance approfondie de Cypher et de l'architecture de Spring AI. Il n'y a pas d'indications d'une exploitation active à l'heure actuelle, ni de présence sur KEV ou EPSS. Des preuves de concept publiques (PoC) pourraient émerger, augmentant ainsi le risque d'exploitation. Consultez le site du NVD (National Vulnerability Database) et CISA (Cybersecurity and Infrastructure Security Agency) pour les dernières informations.
Statut de l'Exploit
EPSS
0.06% (percentile 18%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour la bibliothèque spring-ai-neo4j-store vers la version 1.0.5 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, des mesures temporaires peuvent être prises. Il est recommandé de désactiver temporairement la fonctionnalité utilisant Neo4jVectorFilterExpressionConverter si possible. En attendant la mise à jour, une solution de contournement pourrait consister à implémenter une validation stricte des entrées utilisateur avant de les utiliser dans les requêtes Cypher, en s'assurant que les caractères spéciaux, tels que les backticks, sont correctement échappés. L'utilisation d'un Web Application Firewall (WAF) configuré pour détecter et bloquer les injections Cypher peut également aider à atténuer le risque. Après la mise à jour, vérifiez que la fonctionnalité fonctionne correctement et qu'aucune erreur ne se produit lors de l'exécution de requêtes Cypher.
Mettez à jour la bibliothèque Spring AI vers la version 1.0.5 ou supérieure si vous utilisez la branche 1.0.x, ou vers la version 1.1.4 ou supérieure si vous utilisez la branche 1.1.x. Cela corrigera la vulnérabilité d'injection Cypher dans Neo4jVectorFilterExpressionConverter.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
C'est une vulnérabilité d'injection Cypher dans la bibliothèque spring-ai-neo4j-store de Spring AI, permettant l'exécution de code malveillant dans Neo4j.
Oui, si vous utilisez Spring AI avec spring-ai-neo4j-store en version 1.0.4 ou inférieure. Vérifiez vos dépendances.
Mettez à jour spring-ai-neo4j-store vers la version 1.0.5 ou supérieure. En attendant, validez rigoureusement les entrées utilisateur.
À l'heure actuelle, il n'y a pas de preuves d'exploitation active, mais le risque existe.
Consultez le site du NVD (nvd.nist.gov) et CISA (cisa.gov) pour les informations les plus récentes sur cette vulnérabilité.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.