UNKNOWNCVE-2026-22742
CVE-2026-22742: Spring AI SSRF 脆弱性 - BedrockProxyChatModel
プラットフォーム
java
コンポーネント
org.springframework.ai:spring-ai-bedrock-converse
修正バージョン
1.0.5
CVE-2026-22742は、Spring AIにおけるServer-Side Request Forgery (SSRF)の脆弱性です。BedrockProxyChatModelが、ユーザー提供のメディアURLを処理する際に、不適切な検証により発生します。影響を受けるバージョンは1.0.4以下、1.1.0から1.1.3です。この脆弱性により、サーバーが意図しない内部または外部の宛先にリクエストを送信する可能性があります。修正はバージョン1.0.5で提供されています。
修正方法
Spring AIライブラリを、1.0.xブランチを使用している場合はバージョン1.0.5以降に、1.1.xブランチを使用している場合はバージョン1.1.4以降にアップデートしてください。これにより、ユーザーが提供したメディアURLを適切に検証することで、BedrockProxyChatModelにおけるSSRFの脆弱性が修正されます。
よくある質問
CVE-2026-22742とは何ですか?
CVE-2026-22742は、Spring AIのSSRF脆弱性で、BedrockProxyChatModelがユーザー提供のメディアURLを処理する際に発生します。
影響を受けるバージョンは?
1.0.4以下、1.1.0から1.1.3のSpring AIが影響を受けます。
どのように修正すれば良いですか?
Spring AIをバージョン1.0.5以降にアップデートしてください。