Múltiples vulnerabilidades en Spring
Spring AI, versiones:
- 1.0.0 – 1.0.x
- 1.1.0 – 1.1.x
Spring ha informado de 4 vulnerabilidades, 1 de severidad crítica y 3 altas que, en caso de ser explotadas, pueden permitir la ejecución de código en remoto y el envío de solicitudes HTTP a destinos no deseados, entre otras acciones.
Actualizar el producto a alguna de las siguientes versiones:
- 1.0.5;
- 1.1.4.
CVE-2026-22738: vulnerabilidad de inyección SpEL (Spring Expression Language) en ‘SimpleVectorStore‘ cuando un valor proporcionado por el usuario se utiliza como clave de la expresión de filtro. Un actor malicioso lo podría explotar para ejecutar código arbitrario. Esta vulnerabilidad únicamente afecta a aplicaciones que utilizan ‘simpleVectorStore‘ y entradas proporcionadas por el usuario como claves de la expresión de filtro.
Las vulnerabilidades de severidad alta son CVE-2026-22744, CVE-2026-22743 y CVE-2026-22742 y su detalle se puede consultar en los enlaces de las referencias.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-22738 | Crítica | No | Spring |
| CVE-2026-22744 | Alta | No | Spring |
| CVE-2026-22743 | Alta | No | Spring |
| CVE-2026-22742 | Alta | No | Spring |
Fuente: link
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.
TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.