UNKNOWNCVE-2026-22743
CVE-2026-22743: Spring AI Cypher インジェクション脆弱性
プラットフォーム
java
コンポーネント
org.springframework.ai:spring-ai-neo4j-store
修正バージョン
1.0.5
CVE-2026-22743は、Spring AIにおけるCypherインジェクションの脆弱性です。Neo4jVectorFilterExpressionConverterにおいて、ユーザー制御の文字列がフィルター式キーとして渡される場合に発生します。影響を受けるバージョンは1.0.4以下、1.1.0から1.1.3です。この脆弱性により、Cypherインジェクションのリスクがあります。修正はバージョン1.0.5で提供されています。
修正方法
Spring AIライブラリを、1.0.xブランチを使用している場合はバージョン1.0.5以降に、1.1.xブランチを使用している場合はバージョン1.1.4以降にアップデートしてください。これにより、Neo4jVectorFilterExpressionConverterにおけるCypherインジェクションの脆弱性が修正されます。
よくある質問
CVE-2026-22743とは何ですか?
CVE-2026-22743は、Spring AIのCypherインジェクション脆弱性で、Neo4jVectorFilterExpressionConverterで発生します。
影響を受けるバージョンは?
1.0.4以下、1.1.0から1.1.3のSpring AIが影響を受けます。
どのように修正すれば良いですか?
Spring AIをバージョン1.0.5以降にアップデートしてください。