Se han descubierto vulnerabilidades de severidad crítica en productos Spring. Un actor malicioso podría ejecutar código arbitrario, realizar peticiones no autorizadas o comprometer la integridad de la información procesada en los sistemas afectados.
Productos afectados
- Spring AI: versiones 1.0.x anteriores a 1.0.5.
- Spring AI: versiones 1.1.x anteriores a 1.1.4.
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2026-22738: con una puntuación de 9.8 en CVSS v3.1. Existe una vulnerabilidad de inyección de lenguaje de expresiones de Spring en el componente SimpleVectorStore. Un actor malicioso remoto podría enviar valores diseñados como claves de expresión de filtro para ejecutar código arbitrario en el servidor afectado.
CVE-2026-22742: con una puntuación de 8.6 en CVSS v3.1. Existe una vulnerabilidad de falsificación de solicitud del lado del servidor en el módulo spring-ai-bedrock-converse. Un actor malicioso remoto podría utilizar URL de medios manipuladas en mensajes multimodales para inducir al servidor a realizar peticiones HTTP hacia destinos internos o externos no deseados, eludiendo restricciones de seguridad.
CVE-2026-22744: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de validación insuficiente de entrada en RedisFilterExpressionConverter de spring-ai-redis-store. Un actor malicioso remoto podría enviar cadenas de texto no saneadas como valores de filtro para insertar datos directamente en bloques de etiquetas RediSearch, afectando la integridad del procesamiento de datos.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias