CVE-2026-22738: Spring AI SpEL Injection Kwetsbaarheid
Platform
java
Component
org.springframework.ai:spring-ai-vector-store
Opgelost in
1.0.5
CVE-2026-22738 beschrijft een SpEL injection kwetsbaarheid in Spring AI, specifiek in de SimpleVectorStore component. Deze kritieke kwetsbaarheid, met een CVSS score van 9.8, kan leiden tot de uitvoering van willekeurige code door een aanvaller. De kwetsbaarheid treft versies van Spring AI vanaf 1.0.0 tot 1.0.4 en vanaf 1.1.0 tot 1.1.3. De fix is beschikbaar in versie 1.0.5 en 1.1.4.
Hoe te verhelpen
Update Spring AI naar versie 1.0.5 of hoger als u de 1.0.x branch gebruikt, of naar versie 1.1.4 of hoger als u de 1.1.x branch gebruikt. Dit verhelpt de SpEL injection kwetsbaarheid in SimpleVectorStore. Vermijd het doorgeven van door de gebruiker geleverde input direct als filter expressie sleutels.
Veelgestelde vragen
Wat is CVE-2026-22738?
CVE-2026-22738 is een SpEL injection kwetsbaarheid in Spring AI, waardoor een aanvaller willekeurige code kan uitvoeren.
Ben ik getroffen?
U bent getroffen als u Spring AI gebruikt in een versie tussen 1.0.0 en 1.0.4 of tussen 1.1.0 en 1.1.3, en SimpleVectorStore gebruikt.
Hoe kan ik dit oplossen?
Update naar Spring AI versie 1.0.5 of 1.1.4 om de kwetsbaarheid te verhelpen.
Bewaak uw afhankelijkheden automatisch
Ontvang meldingen wanneer nieuwe kwetsbaarheden uw projecten beïnvloeden.
Gratis beginnen