Risques
- Contournement de la politique de sécurité
- Exécution de code arbitraire à distance
- Falsification de requêtes côté serveur (SSRF)
Systèmes affectés
- Spring AI versions 1.0.x antérieures à 1.0.5
- Spring AI versions 1.1.x antérieures à 1.1.4
Résumé
De multiples vulnérabilités ont été découvertes dans Spring AI. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une falsification de requêtes côté serveur (SSRF) et un contournement de la politique de sécurité.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Spring cve-2026-22738 du 26 mars 2026 https://spring.io/security/cve-2026-22738
- Bulletin de sécurité Spring cve-2026-22742 du 26 mars 2026 https://spring.io/security/cve-2026-22742
- Bulletin de sécurité Spring cve-2026-22743 du 26 mars 2026 https://spring.io/security/cve-2026-22743
- Bulletin de sécurité Spring cve-2026-22744 du 26 mars 2026 https://spring.io/security/cve-2026-22744
- Référence CVE CVE-2026-22738 https://www.cve.org/CVERecord?id=CVE-2026-22738
- Référence CVE CVE-2026-22742 https://www.cve.org/CVERecord?id=CVE-2026-22742
- Référence CVE CVE-2026-22743 https://www.cve.org/CVERecord?id=CVE-2026-22743
- Référence CVE CVE-2026-22744 https://www.cve.org/CVERecord?id=CVE-2026-22744
