Plataforma
java
Componente
org.springframework.ai:spring-ai-neo4j-store
Corrigido em
1.0.5
1.1.4
1.0.5
CVE-2026-22743 descreve uma vulnerabilidade de injeção Cypher presente no componente spring-ai-neo4j-store do Spring AI. A falha permite que um invasor execute comandos Cypher arbitrários através da manipulação de expressões de filtro. As versões afetadas são as anteriores à 1.0.5 e anteriores à 1.1.4. A vulnerabilidade foi corrigida na versão 1.0.5.
A vulnerabilidade CVE-2026-22743 em Spring AI, especificamente no componente spring-ai-neo4j-store, permite a injeção de Cypher. Um atacante pode explorar essa falha ao fornecer uma string controlada pelo usuário como chave de expressão de filtro no Neo4jVectorFilterExpressionConverter. Essa chave é incorporada em um acessador de propriedade Cypher (node.metadata.) sem escapar corretamente os backticks (``). Isso significa que um atacante pode injetar comandos Cypher maliciosos, potencialmente alterando a lógica de consulta do Neo4j e acessando dados sensíveis. O risco reside na possibilidade de um atacante manipular as consultas para extrair informações confidenciais armazenadas no Neo4j, como dados de usuários, informações de configuração ou outros dados de negócios. O raio de impacto (blast radius) é significativo, pois um acesso não autorizado ao banco de dados Neo4j pode comprometer a integridade e a confidencialidade de todo o sistema que depende dele. Um atacante com sucesso pode obter acesso a dados que não deveriam estar acessíveis, modificar dados existentes ou até mesmo interromper o funcionamento do sistema Neo4j.
Atualmente, não há relatos públicos de exploração ativa (KEV) da vulnerabilidade CVE-2026-22743. No entanto, a natureza da vulnerabilidade – injeção de Cypher – a torna potencialmente explorável, especialmente por atacantes com conhecimento de Cypher e acesso ao sistema. A ausência de um Proof of Concept (PoC) público não diminui a importância de aplicar a correção, pois a criação de um PoC pode ocorrer a qualquer momento. A urgência de aplicar a correção é considerada alta, devido ao potencial impacto da exploração bem-sucedida e à relativa facilidade com que a vulnerabilidade pode ser explorada, uma vez que o atacante tenha controle sobre a chave de expressão de filtro. Monitorar a comunidade de segurança em busca de novos desenvolvimentos e PoCs é recomendado.
Status do Exploit
EPSS
0.06% (percentil 18%)
CISA SSVC
Vetor CVSS
A correção para CVE-2026-22743 é atualizar o Spring AI para a versão 1.0.5 ou superior, ou para a versão 1.1.4 ou superior se estiver usando a versão 1.1.x. Se a atualização imediata não for possível, uma possível medida paliativa (workaround) é validar e sanitizar rigorosamente todas as entradas de string fornecidas como chaves de expressão de filtro, garantindo que não contenham backticks (`) ou outros caracteres especiais que possam ser interpretados como comandos Cypher. É crucial implementar essa validação antes de passá-las para o Neo4jVectorFilterExpressionConverter`. Após a aplicação da correção ou workaround, verifique se as consultas ao Neo4j estão funcionando conforme o esperado e que a validação de entrada está sendo aplicada corretamente. A sequência recomendada é: 1) Implementar a validação de entrada (se aplicável), 2) Atualizar para a versão corrigida do Spring AI, 3) Realizar testes de regressão para garantir que a funcionalidade não foi afetada.
Actualice la dependencia spring-ai-neo4j-store a la versión 1.0.5 o superior si está utilizando la rama 1.0.x, o a la versión 1.1.4 o superior si está utilizando la rama 1.1.x. Esto corrige la vulnerabilidad de inyección Cypher. Verifique las notas de la versión para obtener detalles adicionales sobre la actualización.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-22743 is a Cypher injection vulnerability in Spring AI's spring-ai-neo4j-store component that allows attackers to inject malicious Cypher code into Neo4j queries.
You are affected if you are using Spring AI versions 1.0.0 through 1.0.4, or 1.1.0 through 1.1.3.
Upgrade Spring AI to version 1.0.5 or later for Spring AI 1.x, or to version 1.1.4 or later for Spring AI 1.1.x.
Currently, there are no public exploitation reports or proof-of-concept code available for this vulnerability.
Refer to the National Vulnerability Database (NVD) entry at [https://nvd.nist.gov/vuln/detail/CVE-2026-22743](https://nvd.nist.gov/vuln/detail/CVE-2026-22743) for more information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo pom.xml e descubra na hora se você está afetado.