Numéro de série : AV26-288
Date : 26 mars 2026
Du 23 au 26 mars 2026, Spring a publié des bulletins de sécurité visant à corriger des vulnérabilités liées aux produits suivants :
- Spring Cloud Config – versions antérieures à 3.1.3, 4.1.9, 4.2.6, 4.3.2 et 5.0.2;
- Spring AI – versions antérieures à 1.0.5 et 1.1.4.
Le Centre pour la cybersécurité recommande aux utilisatrices, aux utilisateurs, aux administratrices et aux administrateurs de consulter les pages Web ci‑dessous et d'appliquer les mises à jour nécessaires.
- CVE-2026-22739: Spring Cloud Config Profile Substitution Can Allow Unintended Access To Files And Enable SSRF Attacks (en anglais seulement)
- CVE-2026-22743: Server-Side Request Forgery via Filter Expression Keys in Neo4jVectorStore (en anglais seulement)
- CVE-2026-22744: RediSearch Query via Unescaped TAG Filter Values in RedisVectorStore (en anglais seulement)
- CVE-2026-22742: Server-Side Request Forgery in BedrockProxyChatModel via Unvalidated Media URL Fetching (en anglais seulement)
- CVE-2026-22738: SpEL Injection via Unescaped Filter Key in SimpleVectorStore Leads to Remote Code Execution (en anglais seulement)
- Spring Security Advisories (en anglais seulement)