प्लेटफ़ॉर्म
java
घटक
org.springframework.ai:spring-ai-neo4j-store
में ठीक किया गया
1.0.5
1.1.4
1.0.5
CVE-2026-22743, Spring AI में मौजूद एक भेद्यता है, जो Cypher इंजेक्शन का कारण बनती है। यह भेद्यता हमलावरों को Cypher इंजेक्शन के माध्यम से डेटाबेस को प्रभावित करने की अनुमति देती है। प्रभावित संस्करण 1.0.0 से 1.0.5 और 1.1.0 से 1.1.4 से पहले हैं। इस भेद्यता को संस्करण 1.0.5 में ठीक किया गया है।
CVE-2026-22743 एक गंभीर भेद्यता है जो Spring AI के spring-ai-neo4j-store मॉड्यूल में मौजूद है। यह भेद्यता Neo4jVectorFilterExpressionConverter में Cypher इंजेक्शन की अनुमति देती है। यदि कोई हमलावर उपयोगकर्ता-नियंत्रित स्ट्रिंग को फ़िल्टर अभिव्यक्ति कुंजी के रूप में पास करने में सक्षम है, तो doKey() विधि इस कुंजी को बैकटिक-सीमांकित Cypher प्रॉपर्टी एक्सेसर (node.metadata.) में एम्बेड कर देती है, केवल डबल कोट्स को हटाकर और एम्बेडेड बैकटिक को एस्केप नहीं करती है। इसका मतलब है कि हमलावर दुर्भावनापूर्ण Cypher कोड इंजेक्ट कर सकते हैं। इस कोड का उपयोग Neo4j डेटाबेस से संवेदनशील जानकारी निकालने, डेटा को संशोधित करने या यहां तक कि डेटाबेस सर्वर पर अनधिकृत कमांड निष्पादित करने के लिए किया जा सकता है। संभावित डेटा जोखिम में उपयोगकर्ता डेटा, एप्लिकेशन कॉन्फ़िगरेशन और अन्य संवेदनशील जानकारी शामिल हो सकती है। हमलावर डेटाबेस तक पहुंच प्राप्त कर सकते हैं और इसका उपयोग आगे के हमलों को लॉन्च करने के लिए कर सकते हैं। इस भेद्यता का 'ब्लास्ट रेडियस' व्यापक हो सकता है, क्योंकि यह Neo4j डेटाबेस तक पहुंच रखने वाले किसी भी एप्लिकेशन को प्रभावित कर सकता है जो Spring AI का उपयोग करता है।
वर्तमान में, CVE-2026-22743 के लिए कोई सार्वजनिक शोषण रिपोर्ट नहीं है (KEV)। इसका मतलब है कि इस भेद्यता का अभी तक व्यापक रूप से शोषण नहीं किया गया है। हालांकि, इसका मतलब यह नहीं है कि यह जोखिम नहीं है। हमलावर इस भेद्यता का शोषण करने के तरीके की खोज कर सकते हैं, और सार्वजनिक शोषण कोड जारी किया जा सकता है। इस भेद्यता को गंभीरता से लेना और इसे जल्द से जल्द ठीक करना महत्वपूर्ण है। भेद्यता का प्रभाव उच्च है, इसलिए इसे प्राथमिकता दी जानी चाहिए। सार्वजनिक POC (प्रूफ-ऑफ-कॉन्सेप्ट) अभी तक उपलब्ध नहीं हैं, लेकिन भेद्यता की प्रकृति को देखते हुए, शोषण का विकास संभव है।
एक्सप्लॉइट स्थिति
EPSS
0.06% (18% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-22743 को ठीक करने का सबसे अच्छा तरीका Spring AI को संस्करण 1.0.5 या 1.1.4 में अपग्रेड करना है। ये संस्करण भेद्यता को ठीक करते हैं। यदि अपग्रेड तुरंत संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़िल्टर अभिव्यक्ति कुंजी के इनपुट को सख्त रूप से मान्य करें ताकि यह सुनिश्चित हो सके कि इसमें कोई दुर्भावनापूर्ण वर्ण नहीं हैं, विशेष रूप से बैकटिक (`)। इनपुट को सैनिटाइज करने के लिए एक व्हाइटलिस्ट दृष्टिकोण का उपयोग करें, केवल अपेक्षित वर्णों की अनुमति दें। अपग्रेड करने के बाद, यह सत्यापित करना महत्वपूर्ण है कि भेद्यता ठीक हो गई है। आप Neo4jVectorFilterExpressionConverter के माध्यम से दुर्भावनापूर्ण Cypher कोड इंजेक्ट करने का प्रयास करके ऐसा कर सकते हैं और यह सुनिश्चित कर सकते हैं कि यह अब सफल नहीं होता है। सुनिश्चित करें कि आपके एप्लिकेशन में उचित एक्सेस नियंत्रण लागू हैं ताकि अनधिकृत उपयोगकर्ताओं को संवेदनशील डेटा तक पहुंचने या डेटाबेस को संशोधित करने से रोका जा सके।
यदि आप 1.0.x शाखा का उपयोग कर रहे हैं तो Spring AI लाइब्रेरी को संस्करण 1.0.5 या उच्चतर पर अपडेट करें, या यदि आप 1.1.x शाखा का उपयोग कर रहे हैं तो संस्करण 1.1.4 या उच्चतर पर अपडेट करें। यह Neo4jVectorFilterExpressionConverter में Cypher इंजेक्शन भेद्यता को ठीक करेगा।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-22743 Spring AI के spring-ai-neo4j-store मॉड्यूल में एक Cypher इंजेक्शन भेद्यता है जो हमलावरों को Neo4j डेटाबेस तक अनधिकृत पहुंच प्राप्त करने की अनुमति दे सकती है।
यदि आप Spring AI के संस्करण 1.0.0 से पहले 1.0.5 या 1.1.0 से पहले 1.1.4 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2026-22743 को ठीक करने के लिए, Spring AI को संस्करण 1.0.5 या 1.1.4 में अपग्रेड करें।
वर्तमान में, CVE-2026-22743 के लिए कोई सार्वजनिक शोषण रिपोर्ट नहीं है, लेकिन भेद्यता को गंभीरता से लेना महत्वपूर्ण है।
आप इस भेद्यता के बारे में अधिक जानकारी के लिए NVD (National Vulnerability Database) या विक्रेता सलाहकार पर जा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी pom.xml फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।