CVE-2026-40967
Descripción de la Vulnerabilidad
CVE-2026-40967 es una vulnerabilidad de alta gravedad en el framework Spring AI, que permite a los atacantes alterar consultas mediante un fallo en la correcta escapada de claves y valores en las implementaciones de FilterExpressionConverter. Este problema surge cuando objetos de expresión de filtro son traducidos a lenguajes específicos de almacenamiento vectorial, permitiendo que atacantes manipulen las consultas para acceder a datos no autorizados.
Sistemas Afectados
La vulnerabilidad afecta las versiones siguientes de Spring AI:
- 1.0.0 - 1.0.5: Fijada en
1.0.6 - 1.1.0 - 1.1.4: Fijada en
1.1.5
Impacto y Explotabilidad
La puntuación CVSS de 8.6 (HIGH) refleja el alto impacto de la vulnerabilidad. Los atacantes podrían alterar las consultas para acceder a información sensible o comprometer sistemas que dependen del almacenamiento vectorial. La explotabilidad es relativamente alta debido al uso de expresiones de filtro no correctamente escapadas, lo que facilita la manipulación de datos en aplicaciones que utilizan Spring AI.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación y Parches
Los usuarios deben actualizar a las versiones fijadas (1.0.6 y 1.1.5) para corregir la vulnerabilidad. En ausencia de actualizaciones, se recomienda monitorear actividades anómalas en sistemas que utilizan Spring AI, especialmente si se manejan datos sensibles o consultas críticas. Las prácticas de seguridad adicionales, como el uso de validación de entrada y la escapa de caracteres no autorizados, también son esenciales para mitigar riesgos asociados a esta vulnerabilidad.