CVE-2026-22742: Spring AI SSRF Kwetsbaarheid (Bedrock)
Platform
java
Component
org.springframework.ai:spring-ai-bedrock-converse
Opgelost in
1.0.5
CVE-2026-22742 beschrijft een Server-Side Request Forgery (SSRF) kwetsbaarheid in Spring AI, specifiek in de BedrockProxyChatModel component. Deze kwetsbaarheid maakt het mogelijk voor een aanvaller om de server te dwingen HTTP requests te sturen naar onbedoelde bestemmingen. De kwetsbaarheid treft versies van Spring AI vanaf 1.0.0 tot 1.0.4 en vanaf 1.1.0 tot 1.1.3. De fix is beschikbaar in versie 1.0.5 en 1.1.4.
Hoe te verhelpen
Update de Spring AI bibliotheek naar versie 1.0.5 of hoger als u de 1.0.x branch gebruikt, of naar versie 1.1.4 of hoger als u de 1.1.x branch gebruikt. Dit zal de SSRF kwetsbaarheid in BedrockProxyChatModel verhelpen door de door de gebruiker geleverde media URLs correct te valideren.
Veelgestelde vragen
Wat is CVE-2026-22742?
CVE-2026-22742 is een SSRF kwetsbaarheid in Spring AI, waardoor een aanvaller de server kan dwingen requests te sturen naar onbedoelde bestemmingen.
Ben ik getroffen?
U bent getroffen als u Spring AI gebruikt in een versie tussen 1.0.0 en 1.0.4 of tussen 1.1.0 en 1.1.3, en BedrockProxyChatModel gebruikt.
Hoe kan ik dit oplossen?
Update naar Spring AI versie 1.0.5 of 1.1.4 om de kwetsbaarheid te verhelpen.
Bewaak uw afhankelijkheden automatisch
Ontvang meldingen wanneer nieuwe kwetsbaarheden uw projecten beïnvloeden.
Gratis beginnen