Spring AI - CVE-2026-47835
Date de publication :
Il s'agit d'une vulnérabilité dans le mécanisme de filtrage par métadonnées des connecteurs Elasticsearch, OpenSearch et GemFire de Spring AI.
Spring AI est un framework Java de la suite Spring, destiné à l'intégration de fonctionnalités d'intelligence artificielle dans des applications, avec notamment une couche d'abstraction pour les bases de données vectorielles.
Les caractères spéciaux fournis par l'utilisateur ne sont pas neutralisés avant leur transmission aux moteurs de requête sous-jacents, permettant l'injection de requêtes arbitraires sans authentification.
Elle permet l'exécution de requêtes arbitraires sur les bases de données vectorielles ciblées, avec atteinte à la confidentialité, à l'intégrité et à la disponibilité des données.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
• Atteinte à la confidentialité des données
• Atteinte à l'intégrité des données
• Déni de service (à distance)
Exploitation
CWE-943 : Improper Neutralization of Special Elements in Data Query Logic
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Contournement provisoire
• Spring AI versions 1.0.0 jusqu'à 1.0.x (antérieures à 1.0.9)
• Spring AI versions 1.1.0 jusqu'à 1.1.x (antérieures à 1.1.8)
Solutions ou recommandations
• Spring AI versions 1.1.8 et supérieures