UNKNOWNCVE-2026-22738
CVE-2026-22738: Spring AI SpEL インジェクション脆弱性
プラットフォーム
java
コンポーネント
org.springframework.ai:spring-ai-vector-store
修正バージョン
1.0.5
CVE-2026-22738は、Spring AIにおけるSpELインジェクションの脆弱性です。SimpleVectorStoreで、ユーザーが提供した値をフィルター式キーとして使用した場合に、悪意のあるコードの実行が可能になります。影響を受けるバージョンは1.0.4以下、1.1.0から1.1.3です。この脆弱性により、任意のコード実行のリスクがあります。修正はバージョン1.0.5で提供されています。
修正方法
Spring AIを、1.0.xブランチを使用している場合はバージョン1.0.5以降に、1.1.xブランチを使用している場合はバージョン1.1.4以降にアップデートしてください。これにより、SimpleVectorStoreにおけるSpELインジェクションの脆弱性が修正されます。ユーザーが提供した入力をフィルター式キーとして直接渡さないようにしてください。
よくある質問
CVE-2026-22738とは何ですか?
CVE-2026-22738は、Spring AIのSpELインジェクション脆弱性で、SimpleVectorStoreでユーザー入力が原因で発生します。
影響を受けるバージョンは?
1.0.4以下、1.1.0から1.1.3のSpring AIが影響を受けます。
どのように修正すれば良いですか?
Spring AIをバージョン1.0.5以降にアップデートしてください。