Spring ha lanzado actualizaciones de seguridad para corregir múltiples vulnerabilidades en sus productos, entre ellas tres de severidad alta. Esto podría permitir a un actor malicioso omitir la función de seguridad, divulgar información o manipular datos sensibles.
Productos afectados
- 1.1.x, versiones anteriores a 1.1.6
- 1.0.x, versiones anteriores a la 1.0.7
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2026-41705: con una puntuación de 8.6 en CVSS v3.1. Existe una vulnerabilidad en la implementación del método MilvusVectorStore#doDelete(List) en Spring AI. El sistema es propenso a una inyección de expresiones de filtro debido a que los identificadores de documentos no son debidamente sanitizados. Esta falta de validación podría permitir a un actor malicioso inyectar expresiones ejecutables en consultas que deberían ser estáticas, lo que podría derivar en la ejecución remota de código.
CVE-2026-41713: con una puntuación de 8.2 en CVSS v3.1. Existe una vulnerabilidad de neutralización incorrecta de elementos especiales utilizados en un motor de plantillas en Spring AI que podría permitir a un usuario malintencionado inyectar datos diseñados para almacenarse en la memoria de la conversación. Posteriormente, el modelo interpreta esta información de forma no deseada. Como consecuencia, las aplicaciones que utilizan el asesor afectado con datos controlados por el usuario quedan expuestas a la manipulación del comportamiento del modelo durante los turnos de la conversación.
CVE-2026-41712: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad en el componente de memoria de chat de Spring AI que contenía una configuración predeterminada problemática que, si no se modificaba explícitamente, podía provocar una exposición no deseada de datos entre los usuarios.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias