Spring AI tem uma vulnerabilidade de Injeção Cypher (Cypher Injection) em Neo4jVectorFilterExpressionConverter

spring-ai-neo4j-store do Spring AI contém uma vulnerabilidade de Injeção Cypher (Cypher Injection) em Neo4jVectorFilterExpressionConverter. Quando uma string controlada pelo usuário é passada como uma chave de expressão de filtro em Neo4jVectorFilterExpressionConverter de spring-ai-neo4j-store, doKey() incorpora a chave em um acessador de propriedade Cypher delimitado por crase (node.`metadata.`) após remover apenas aspas duplas, sem escapar as crases incorporadas. Este problema afeta o Spring AI: da versão 1.0.0 anterior à 1.0.5, da versão 1.1.0 anterior à 1.1.4.