Platform
java
Component
org.springframework.ai:spring-ai-neo4j-store
Opgelost in
1.0.5
1.1.4
1.0.5
CVE-2026-22743 beschrijft een Cypher injection kwetsbaarheid in Spring AI, specifiek in de Neo4jVectorFilterExpressionConverter component. Deze kwetsbaarheid maakt het mogelijk voor een aanvaller om Cypher code te injecteren. De kwetsbaarheid treft versies van Spring AI vanaf 1.0.0 tot 1.0.4 en vanaf 1.1.0 tot 1.1.3. De fix is beschikbaar in versie 1.0.5 en 1.1.4.
CVE-2026-22743 in Spring AI's spring-ai-neo4j-store stelt aanvallers in staat om Cypher injectie uit te voeren via de Neo4jVectorFilterExpressionConverter. Een aanvaller kan een schadelijke string invoeren als een filter expressie sleutel. Deze string wordt vervolgens door de doKey() methode ingebed in een Cypher property accessor (node.metadata.) zonder correcte escaping van backticks. Dit betekent dat een aanvaller Cypher code kan injecteren die wordt uitgevoerd in de Neo4j database. De risico's omvatten ongeautoriseerde toegang tot gevoelige data die in de Neo4j database is opgeslagen, zoals gebruikersgegevens, applicatieconfiguraties of andere bedrijfskritische informatie. Een succesvolle exploit kan leiden tot data-exfiltratie, wijziging van data, of zelfs denial-of-service. De blast radius is afhankelijk van de privileges van de Neo4j gebruiker die door de Spring AI applicatie wordt gebruikt. Als deze gebruiker brede rechten heeft, kan de impact aanzienlijk zijn. Het is cruciaal om te begrijpen dat de kwetsbaarheid ontstaat doordat de invoer niet correct wordt gevalideerd en geëscapeerd voordat deze in de Cypher query wordt opgenomen.
Op dit moment zijn er geen publiekelijk beschikbare exploit rapporten (KEV) bekend voor CVE-2026-22743. Dit betekent dat de kwetsbaarheid nog niet actief wordt misbruikt in de wild. Echter, de aanwezigheid van een Cypher injectie kwetsbaarheid maakt het een aantrekkelijk doelwit voor aanvallers, vooral gezien de potentiële impact. Het is daarom aan te raden om de kwetsbaarheid zo snel mogelijk te patchen, zelfs als er geen actieve exploitatie is waargenomen. Het ontbreken van publieke exploits betekent niet dat de kwetsbaarheid niet misbruikt kan worden; het kan simpelweg betekenen dat de exploitatie nog niet is ontdekt of gedeeld. De urgentie om te patchen is hoog, gezien de potentiële impact van een succesvolle exploitatie.
Exploit Status
EPSS
0.06% (18% percentiel)
CISA SSVC
CVSS-vector
Om CVE-2026-22743 te verhelpen, is het essentieel om Spring AI te upgraden naar versie 1.0.5 of hoger (indien u versie 1.0 gebruikt) of naar versie 1.1.4 of hoger (indien u versie 1.1 gebruikt). Deze versies bevatten de benodigde correcties om de Cypher injectie kwetsbaarheid te verhelpen. Indien een upgrade op dit moment niet mogelijk is, overweeg dan om de invoer van de filter expressie sleutel te valideren en te saneren om te voorkomen dat schadelijke code wordt uitgevoerd. Dit kan door een whitelist van toegestane karakters te implementeren of door alle backticks uit de invoer te verwijderen. Het is belangrijk om de correctie na de upgrade of implementatie van een workaround te verifiëren door te testen met bekende payloaden die de kwetsbaarheid zouden kunnen misbruiken. Controleer de Neo4j logs op onverwachte Cypher queries om te bevestigen dat de exploitatie is voorkomen.
Update de Spring AI-bibliotheek naar versie 1.0.5 of hoger als u de 1.0.x-branch gebruikt, of naar versie 1.1.4 of hoger als u de 1.1.x-branch gebruikt. Dit zal de Cypher-injectiekwetsbaarheid in Neo4jVectorFilterExpressionConverter oplossen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-22743 is a Cypher injection vulnerability in Spring AI's spring-ai-neo4j-store component that allows attackers to inject malicious Cypher code into Neo4j queries.
You are affected if you are using Spring AI versions 1.0.0 through 1.0.4, or 1.1.0 through 1.1.3.
Upgrade Spring AI to version 1.0.5 or later for Spring AI 1.x, or to version 1.1.4 or later for Spring AI 1.1.x.
Currently, there are no public exploitation reports or proof-of-concept code available for this vulnerability.
Refer to the National Vulnerability Database (NVD) entry at [https://nvd.nist.gov/vuln/detail/CVE-2026-22743](https://nvd.nist.gov/vuln/detail/CVE-2026-22743) for more information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.