CVE-2026-40978: Vulnerabilidad de Inyección SQL en Spring AI

Descripción de la Vulnerabilidad

La vulnerabilidad CVE-2026-40978 es una falla crítica en el componente CosmosDBVectorStore del framework Spring AI, que permite a los atacantes ejecutar consultas SQL arbitrarias mediante documentos ID maliciosos. Esta inyección SQL se explota al procesar datos no validados, permitiendo a un攻击者 acceder a la base de datos subyacente y comprometer la seguridad del sistema.

Sistemas Afectados

La vulnerabilidad afecta las siguientes versiones de Spring AI: - 1.0.0 - 1.0.5 (fijada en 1.0.6) - 1.1.0 - 1.1.4 (fijada en 1.1.5) Estas versiones son susceptibles de ataque si no se aplican los parches correctivos.

Impacto y Explotabilidad

La calificación CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H asignada a esta vulnerabilidad indica un impacto alto. Los atacantes pueden aprovecharla para: - Robar datos sensibles mediante consultas SQL maliciosas. - Ejecutar código arbitrario en la base de datos. - Comprometer la integridad del sistema al alterar registros o eliminar datos. La explotación requiere un ID de documento malicioso, lo que puede ser aprovechado por atacantes con acceso a la aplicación.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso publicos disponibles.

Mitigación y Parches

Para proteger contra esta vulnerabilidad: 1. Actualiza Spring AI a las versiones fijadas: - 1.0.6 para 1.0.x. - 1.1.5 para 1.1.x. 2. Valida y sanitiza los IDs de documento antes de su procesamiento. 3. Monitorea actividad anómala en la base de datos, como consultas SQL no estándar o acceso inusual. Estos pasos reducirán el riesgo de explotación y garantizarán la seguridad del sistema.