개요
Spring 제품에서 발생하는 취약점을 해결하는 보안 업데이트가 발표됐다. 대상은 Spring AI이며, 사용자는 최신 버전으로 업데이트해야 한다.
영향 대상
- Spring AI 1.0.0 이상 1.0.6 미만.
- Spring AI 1.1.0 이상 1.1.5 미만.
해결된 취약점
- CVE-2026-40967: Spring AI에서 발생하는 입력값 이스케이프 처리 미흡 취약점이다.
- CVE-2026-40978: Spring AI에서 발생하는 SQL 인젝션(SQL Injection, 입력값을 악용해 데이터베이스 질의를 조작하는 취약점) 취약점이다.
패치 정보
최신 업데이트를 통해 취약점 패치가 제공됐다. 참고 사이트 안내에 따라 Spring AI 1.0.6 또는 1.1.5로 업데이트하면 된다.
참고
- CVE-2026-40967: VectorStore FilterExpression Converter injection.
- CVE-2026-40978: SQL Injection in CosmosDBVectorStore.doDelete().