Mehrere Schwachstellen (CVE-2026-22738, CVE-2026-22742) in Spring
⚠️ CVE-Referenzen:
CVE-2026-22738
CVE-2026-22742
Zusammenfassung
Spring AI's spring-ai-bedrock-converse ist von einer Server-Side Request Forgery (SSRF)-Schwachstelle betroffen. Angreifer können durch mangelhafte Validierung von Nutzer-URLs den Server dazu bringen, unbeabsichtigte interne oder externe Anfragen auszulösen. Die Schwachstelle betrifft Versionen 1.0.0 bis 1.0.5 sowie 1.1.0 bis 1.1.4 und hat einen hohen Schweregrad von 8.6.
Spring AI's spring-ai-bedrock-converse contains a Server-Side Request Forgery (SSRF) vulnerability in BedrockProxyChatModel when processing multimodal messages that include user-supplied media URLs. Insufficient validation of those URLs allows an attacker to induce the server to issue HTTP requests to unintended internal or external destinations.
This issue affects Spring AI: from 1.0.0 before 1.0.5, from 1.1.0 before 1.1.4.
Quelle: app.opencve.io