UNKNOWNCVE-2026-22744
CVE-2026-22744: Spring AI Redis インジェクション脆弱性
プラットフォーム
java
コンポーネント
org.springframework.ai:spring-ai-redis-store
修正バージョン
1.0.5
CVE-2026-22744は、Spring AIにおけるRedisインジェクションの脆弱性です。RedisFilterExpressionConverterにおいて、ユーザー制御の文字列がTAGフィールドのフィルター値として渡される場合に発生します。影響を受けるバージョンは1.0.4以下、1.1.0から1.1.3です。この脆弱性により、RediSearch TAGブロックへのインジェクションのリスクがあります。修正はバージョン1.0.5で提供されています。
修正方法
Spring AI Redis Storeライブラリを、1.0.xブランチを使用している場合はバージョン1.0.5以降に、1.1.xブランチを使用している場合はバージョン1.1.4以降にアップデートしてください。これにより、Redisフィルター式のインジェクションの脆弱性が修正されます。
よくある質問
CVE-2026-22744とは何ですか?
CVE-2026-22744は、Spring AIのRedisインジェクション脆弱性で、RedisFilterExpressionConverterで発生します。
影響を受けるバージョンは?
1.0.4以下、1.1.0から1.1.3のSpring AIが影響を受けます。
どのように修正すれば良いですか?
Spring AIをバージョン1.0.5以降にアップデートしてください。