CVE-2026-40967 Spring AI查询注入漏洞

漏洞信息

漏洞编号

CVE-2026-40967

漏洞类型

注入漏洞

CVSS评分

8.6 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Spring AI

漏洞概述

Spring AI框架中的多个FilterExpressionConverter实现类在处理过滤器表达式对象并将其转换为向量存储查询语言时存在安全缺陷。由于未能正确对键和值进行转义处理，攻击者能够利用该漏洞构造恶意输入，从而篡改原本的查询逻辑。此漏洞可能被用于绕过安全检查，导致敏感数据泄露、数据完整性受损或服务可用性降低。该问题影响了Spring AI的多个版本区间，官方已发布修复版本，建议受影响用户及时更新。

技术细节

该漏洞的根源在于Spring AI项目中FilterExpressionConverter接口的多种实现类在进行对象到查询字符串的转换过程中，缺乏必要的安全校验和转义机制。当应用程序使用Spring AI构建向量存储查询时，通常会接受外部输入作为过滤条件（例如元数据过滤）。由于转换器未对输入中的特殊字符或保留关键字（如向量数据库特定的操作符、引号等）进行转义，攻击者可以构造恶意的输入字符串。一旦这些输入被拼接到最终的查询语句中，向量数据库后端会将其解析为有效的查询语法指令，而非普通的文本比较。这本质上是一种注入攻击，允许攻击者在未经授权的情况下修改查询逻辑，绕过访问控制，读取、修改甚至删除向量数据库中的敏感数据。特别是在使用NoSQL风格的向量存储时，攻击者可以通过注入特定的操作符（如$ne, $or）来改变查询的布尔逻辑，从而获取超出权限范围的数据。

攻击链分析

STEP 1

侦察

攻击者识别目标应用程序正在使用Spring AI框架，并存在接受用户输入以构建向量数据库查询的接口。

STEP 2

武器化

攻击者分析后端向量数据库的查询语法，构造包含特殊操作符或转义字符的恶意字符串（如注入逻辑操作符或JSON结构）。

STEP 3

交付

攻击者通过应用程序的Web表单或API接口，将构造的恶意Payload作为过滤参数发送给服务器。

STEP 4

利用

Spring AI的FilterExpressionConverter在未转义的情况下处理该输入，将其拼接到向量数据库查询中，导致查询逻辑被篡改。

STEP 5

影响

向量数据库执行了被篡改的查询，返回了未经授权的数据（如所有用户记录），导致数据泄露。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// POC Concept for CVE-2026-40967
// Demonstrates how unsanitized input can alter a vector store query.

import org.springframework.ai.vectorstore.filter.FilterExpressionBuilder;
import org.springframework.ai.vectorstore.filter.Filter;

public class CVE202640967PoC {
    public static void main(String[] args) {
        FilterExpressionBuilder builder = new FilterExpressionBuilder();

        // Scenario: User input is taken directly to filter documents by 'author'
        String userInput = "admin'; /* Malicious injection */ return true; //";

        // Vulnerable construction: The converter takes userInput as a literal value
        // but fails to escape quotes or special characters if the underlying query
        // language (e.g., a specific SQL-like or JSON-like vector dialect) interprets them.
        
        // If the filter is built like: builder.eq("author", userInput)
        // And the backend converts this to a string query without escaping:
        // Resulting Query (Hypothetical): { "author": "admin'; return true; //" }
        // In some contexts, this might break out of the value context and execute logic.

        System.out.println("Constructed Filter with User Input: " + userInput);
        
        // Actual exploitation depends on the specific VectorStore implementation (e.g., Pinecone, Milvus, Weaviate).
        // For a NoSQL-based store, injecting JSON keys might be possible:
        String jsonInjection = "{\"$ne\": null}";
        
        // If the app constructs: FilterExpressionBuilder.in("metadata", jsonInjection)
        // And it is not escaped, the query might become:
        // { "metadata": { "$ne": null } }
        // This matches documents where metadata is not null, potentially leaking all records.
    }
}

影响范围

Spring AI 1.0.0 - 1.0.5

Spring AI 1.1.0 - 1.1.4

防御指南

临时缓解措施

如果无法立即升级，建议在应用层面对所有用于构建过滤器表达式的用户输入进行严格的白名单校验，确保输入不包含任何特殊字符或向量数据库相关的操作符。同时，限制对向量数据库的网络访问权限，遵循最小权限原则，以减少潜在危害。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-40967
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-40967
3 Details https://www.cvedetails.com/cve/CVE-2026-40967/
4 VulDB https://vuldb.com/cve/CVE-2026-40967
5 Link https://spring.io/security/cve-2026-40967