CVE-2026-41863
ŚrednieCVSS 6.5Streszczenie
Podatność w Spring AI związana z obsługą API Skills firmy Anthropic pozwala na wykorzystanie nazw plików, które nie są odpowiednio oczyszczone przed zapisaniem ich na dysku. Może to umożliwić złośliwemu użytkownikowi zapis plików poza zamierzonym katalogiem docelowym, w tym w katalogach z ograniczeniami.
Ocena ryzyka
Organizacja może być narażona na nieautoryzowany dostęp do wrażliwych danych lub systemów, co może prowadzić do poważnych naruszeń bezpieczeństwa. Złośliwe pliki mogą być zapisane w nieodpowiednich lokalizacjach, co zwiększa ryzyko ataków.
Rekomendacja
Zaleca się aktualizację Spring AI do najnowszej wersji, aby usunąć tę podatność. Należy również przeprowadzić audyt kodu w celu zapewnienia, że wszystkie nazwy plików są odpowiednio oczyszczane przed ich użyciem.
Oryginalny opis (angielski, źródło NVD)
Spring AI's support for Anthropic's Skills API used LLM-influenced filenames unsanitized in Path.resolve before writing files to disk. This could allow a malicious user to write files outside the intended target directory, including restricted directories. Affected versions: Spring AI: 1.1.0 through 1.1.x

