Se ha descubierto una vulnerabilidad de severidad alta en el producto Spring AI. Un actor malicioso podría eludir las medidas de seguridad y lograr la ejecución de comandos arbitrarios en los sistemas afectados.
Productos afectados
- Spring AI: versiones 1.0.x hasta la 1.0.4.
- Spring AI: versiones 1.1.x hasta la 1.1.3.
Impacto
La vulnerabilidad se ha identificado como:
CVE-2026-22730: con una puntuación de 8.8 en CVSS v3.1. Existe una vulnerabilidad de inyección SQL en el componente MariaDBFilterExpressionConverter de Spring AI. Un actor malicioso remoto podría eludir los controles de acceso basados en metadatos y ejecutar comandos SQL arbitrarios debido a la falta de saneamiento en las entradas de datos.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias