CVE-2026-40967
🟡 Monitoruj
Nieprawidłowe eskapowanie kluczy i wartości w Spring AI umożliwia modyfikację zapytań.
CVSS
8.6
EPSS
0.1%
Exploit
none
Vendor
vmware
Opis źródłowy (NVD)
In Spring AI, various FilterExpressionConverter implementations accept a filter expression object and translate them to specific vector store query languages. In several cases, keys and values are not properly escaped, leading to the ability to alter the query. Affected versions: Spring AI: 1.0.0 - 1.0.5 (fixed in 1.0.6), 1.1.0 - 1.1.4 (fixed in 1.1.5)
brak
Brak patcha
Źródła i daty
| Źródło | Wartość |
|---|---|
| NVD – CVSS | 8.6 |
| CISA KEV (aktywnie wykorzystywane) | Nie |
| FIRST EPSS (prawdopodobieństwo exploita) | 0.1% |
| Opublikowano (NVD) | 2026-04-28 07:16:03 UTC |
| Ostatnia modyfikacja (NVD) | 2026-04-29 19:04:59 UTC |
Referencje
- https://spring.io/security/cve-2026-40967 (security@vmware.com) [Vendor Advisory]