Bulletin de sécurité Spring (AV26-245)

Numéro de série : AV26-245
Date : 17 mars 2026

Le 17 mars 2026, Spring a publié des bulletins de sécurité visant à corriger des vulnérabilités liées au produit suivant :

• Spring AI – 1.0.x versions antérieures à 1.0.4;
• Spring AI – 1.1.x versions antérieures à 1.1.3.

Le Centre pour la cybersécurité recommande aux utilisatrices, aux utilisateurs, aux administratrices et aux administrateurs de consulter les pages Web ci‑dessous et d'appliquer les mises à jour nécessaires.

• CVE-2026-22730: SQL Injection in Spring AI MariaDBFilterExpressionConverter (en anglais seulement)
• CVE-2026-22729: JSONPath Injection in Spring AI Vector Stores FilterExpressionConverter (en anglais seulement)
• Spring Security Advisories (en anglais seulement)