Spring - CVE-2026-22738
Date de publication :
Il s'agit d'une vulnérabilité d'injection SpEL dans le composant SimpleVectorStore de Spring AI.
Spring AI est une bibliothèque Java du framework Spring pour l'intégration de modèles d'intelligence artificielle dans les applications.
Lorsqu'une valeur fournie par un utilisateur est utilisée directement comme clé d'expression de filtre, elle est évaluée sans échappement par le moteur Spring Expression Language. Un attaquant peut ainsi injecter des expressions SpEL arbitraires. Seules les applications utilisant SimpleVectorStore et transmettant des entrées utilisateur comme clé de filtre sont concernées.
Elle permet l'exécution de code arbitraire à distance.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Exécution de code arbitraire (à distance)
Exploitation
CWE-917 : Improper Neutralization of Special Elements used in an Expression Language Statement (Expression Language Injection)
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
• Spring AI versions 1.0.0 jusqu'à 1.0.4
• Spring AI versions 1.1.0 jusqu'à 1.1.3
Solutions ou recommandations
• Spring AI version 1.1.4 et supérieures.