CVE-2026-47835
WysokieCVSS 8.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 37 — wyżej niż 37% wszystkich znanych CVE
Streszczenie
W Spring AI Vector Stores występuje podatność, która pozwala na wykorzystanie specjalnych znaków do wymuszenia wykonania dowolnych zapytań w Elasticsearch, OpenSearch i GemFire VectorDB. Dotyczy to komponentów: spring-ai-elasticsearch-store, spring-ai-opensearch-store, spring-ai-gemfire-store.
Ocena ryzyka
Wykorzystanie tej podatności może prowadzić do nieautoryzowanego dostępu do danych oraz wykonania niebezpiecznych zapytań, co stwarza poważne zagrożenie dla bezpieczeństwa aplikacji i danych organizacji.
Rekomendacja
Zaleca się aktualizację do wersji 1.0.9 lub 1.1.8, aby usunąć tę podatność i zabezpieczyć system przed potencjalnymi atakami.
Oryginalny opis (angielski, źródło NVD)
In Spring AI Vector Stores, special characters could be used to force the execution of arbitrary queries in Elasticsearch, OpenSearch, and GemFire VectorDB. Affected components: spring-ai-elasticsearch-store, spring-ai-opensearch-store, spring-ai-gemfire-store. Affected versions: Spring AI 1.0.0 through 1.0.x (fix 1.0.9). Spring AI 1.1.0 through 1.1.x (fix 1.1.8).

