UNKNOWNCVE-2026-22743
CVE-2026-22743 Spring AI Cypher注入漏洞,影响1.0.0-1.0.4
平台
java
组件
org.springframework.ai:spring-ai-neo4j-store
已修复版本
1.0.5
CVE-2026-22743 描述了 Spring AI 中的一个 Cypher 注入漏洞。该漏洞允许攻击者通过构造恶意输入,在 Neo4j 查询中注入 Cypher 代码,从而可能导致未经授权的数据访问或修改。受影响的版本包括 1.0.0 到 1.0.4。该问题已在 1.0.5 版本中得到修复,建议用户尽快升级。
修复方法
如果使用 1.0.x 分支,请将 Spring AI 库更新到 1.0.5 或更高版本,或者如果使用 1.1.x 分支,请更新到 1.1.4 或更高版本。这将修复 Neo4jVectorFilterExpressionConverter 中的 Cypher 注入漏洞。
常见问题
什么是 CVE-2026-22743 漏洞?
CVE-2026-22743 是 Spring AI 中的一个 Cypher 注入漏洞,允许攻击者注入恶意 Cypher 代码。
我是否受到 CVE-2026-22743 漏洞的影响?
如果您正在使用 Spring AI 的 1.0.0 到 1.0.4 版本,则可能受到此漏洞的影响。
如何修复 CVE-2026-22743 漏洞?
升级到 Spring AI 的 1.0.5 或更高版本以修复此漏洞。