UNKNOWNCVE-2026-22742
CVE-2026-22742 Spring AI SSRF 漏洞,影响版本
平台
java
组件
org.springframework.ai:spring-ai-bedrock-converse
已修复版本
1.0.5
CVE-2026-22742 是 Spring AI 中的一个服务器端请求伪造 (SSRF) 漏洞,当处理包含用户提供的媒体 URL 的多模态消息时,攻击者可以利用此漏洞诱导服务器发出 HTTP 请求到内部或外部目的地。受影响的版本包括 1.0.4 及以下版本,以及 1.1.0 到 1.1.3 版本。该漏洞已在 1.0.5 和 1.1.4 版本中得到修复。
修复方法
如果您正在使用 1.0.x 分支,请将 Spring AI 库更新到 1.0.5 或更高版本,或者如果您正在使用 1.1.x 分支,请更新到 1.1.4 或更高版本。这将通过正确验证用户提供的媒体 URL 来修复 BedrockProxyChatModel 中的 SSRF 漏洞。
常见问题
什么是 CVE-2026-22742 漏洞?
CVE-2026-22742 是 Spring AI 中的一个 SSRF 漏洞,允许攻击者诱导服务器发出 HTTP 请求。
我是否受到 CVE-2026-22742 漏洞的影响?
如果您的 Spring AI 版本为 1.0.4 及以下,或 1.1.0 到 1.1.3,则可能受到此漏洞的影响。
如何修复 CVE-2026-22742 漏洞?
升级您的 Spring AI 到 1.0.5 或 1.1.4 及更高版本以修复此漏洞。