Kritische RCE-Lücke in Spring AI - CVE-2026-22738
⚠️ CVE-Referenzen:
CVE-2026-22738
Zusammenfassung
In Spring AI existiert eine kritische Sicherheitslücke (CVE-2026-22738) mit einem CVSS-Score von 9.8, die es Angreifern ermöglicht, durch manipulierte Eingaben in der SimpleVectorStore-Komponente beliebigen Code auszuführen. Betroffen sind Spring AI-Versionen von 1.0.0 bis 1.0.5 sowie 1.1.0 bis 1.1.4. Entwickler sollten umgehend auf die korrigierten Versionen aktualisieren, um ihre Systeme vor Kompromittierung zu schützen.
In Spring AI, a SpEL injection vulnerability exists in SimpleVectorStore when a user-supplied value is used as a filter expression key. A malicious actor could exploit this to execute arbitrary code. Only applications that use SimpleVectorStore and pass user-supplied input as a filter expression key are affected.
This issue affects Spring AI: from 1.0.0 before 1.0.5, from 1.1.0 before 1.1.4.
Quelle: app.opencve.io