UNKNOWNCVE-2026-22738
CVE-2026-22738 Spring AI SpEL 注入漏洞,影响版本
平台
java
组件
org.springframework.ai:spring-ai-vector-store
已修复版本
1.0.5
CVE-2026-22738 是 Spring AI 中的一个 SpEL 注入漏洞,当用户提供的输入被用作过滤表达式键时,攻击者可以利用此漏洞执行任意代码。该漏洞可能导致严重的安全风险。受影响的版本包括 1.0.4 及以下版本,以及 1.1.0 到 1.1.3 版本。该漏洞已在 1.0.5 和 1.1.4 版本中得到修复。
修复方法
如果您正在使用 1.0.x 分支,请将 Spring AI 更新到 1.0.5 或更高版本,或者如果您正在使用 1.1.x 分支,请更新到 1.1.4 或更高版本。这将修复 SimpleVectorStore 中的 SpEL 注入漏洞。避免将用户提供的输入直接作为 filter 表达式 key 传递。
常见问题
什么是 CVE-2026-22738 漏洞?
CVE-2026-22738 是 Spring AI 中的一个 SpEL 注入漏洞,允许攻击者执行任意代码。
我是否受到 CVE-2026-22738 漏洞的影响?
如果您的 Spring AI 版本为 1.0.4 及以下,或 1.1.0 到 1.1.3,则可能受到此漏洞的影响。
如何修复 CVE-2026-22738 漏洞?
升级您的 Spring AI 到 1.0.5 或 1.1.4 及更高版本以修复此漏洞。