Numéro de série : AV26-443
Date : 11 mai 2026
Bulletin de sécurité Spring (AV26-443)
Le 8 mai 2026, Spring a publié des bulletins de sécurité visant à corriger des vulnérabilités liées aux produits suivants :
- Spring AI – 1.0.x versions antérieures à 1.0.7;
- Spring AI – 1.1.x versions antérieures à 1.1.6.
Le Centre pour la cybersécurité recommande aux utilisatrices, aux utilisateurs, aux administratrices et aux administrateurs de consulter les pages Web ci‑dessous et d'appliquer les mises à jour nécessaires.
- CVE-2026-41705: Expression injection in MilvusVectorStore doDelete allows data destruction (en anglais seulement)
- CVE-2026-41713: Prompt Injection via Memory Poisoning in PromptChatMemoryAdvisor (en anglais seulement)
- CVE-2026-41712: ChatMemory DEFAULT_CONVERSATION_ID causes unintended cross-user data leakage (en anglais seulement)
- Spring Security Advisories (en anglais seulement)