VDB-351507 · CVE-2026-22730 · EUVD-2026-12797

VMware Spring AI hasta 1.0.3/1.1.2 MariaDBFilterExpressionConverter inyección SQL

CVSS Puntuación meta temporal	Precio actual del exploit (≈)	Puntuación de interés CTI
7.4	$0-$5k	0.00

Resumeninformación

Una vulnerabilidad fue encontrada en VMware Spring AI hasta 1.0.3/1.1.2 y clasificada como crítica. Está afectada una función desconocida en el componente MariaDBFilterExpressionConverter. El manejo da lugar a inyección SQL. Esta vulnerabilidad se registra como CVE-2026-22730. El ataque se puede efectuar a través de la red. No hay ningún exploit disponible. Se sugiere actualizar el componente afectado.

Detallesinformación

Una vulnerabilidad fue encontrada en VMware Spring AI hasta 1.0.3/1.1.2 y clasificada como crítica. Una función desconocida del componente MariaDBFilterExpressionConverter es afectada por esta vulnerabilidad. A través de la manipulación de un input desconocido se causa una vulnerabilidad de clase inyección sql. Esto tiene repercusión sobre la confidencialidad, integridad y disponibilidad. El resumen de CVE es:

Una vulnerabilidad crítica de inyección SQL en el MariaDBFilterExpressionConverter de Spring AI permite a los atacantes eludir los controles de acceso basados en metadatos y ejecutar comandos SQL arbitrarios. La vulnerabilidad existe debido a la falta de saneamiento de entrada.

El advisory puede ser descargado de spring.io. La vulnerabilidad es identificada como CVE-2026-22730. La explotación se considera fácil. El ataque se puede efectuar a través de la red. No se conoce los detalles técnicos ni hay ningún exploit disponible.

Para el scanner Nessus se dispone de un plugin ID 304269 (Spring AI 1.0.x < 1.0.4 / 1.1.x < 1.1.3 Multiple Vulnerabilities), que puede ayudar a determinar la existencia del riesgo analizado.

Una actualización a la versión 1.0.4 o 1.1.3 elimina esta vulnerabilidad.

La vulnerabilidad también está documentado en las bases de datos Tenable (304269) y EUVD (EUVD-2026-12797). Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Productoinformación

Escribe

Artificial Intelligence Software

Proveedor

VMware

Nombre

Spring AI

Versión

Licencia

comercial

Sitio web

Proveedor: https://www.vmware.com/

CPE 2.3información

CPE 2.2información

CVSSv4información

VulDB Vector: 🔒
VulDB Confiabilidad: 🔍

CVSSv3información

VulDB Puntuación meta base: 7.6
VulDB Puntuación meta temporal: 7.4

VulDB Puntuación base: 6.3
VulDB Puntuación temporal: 6.0
VulDB Vector: 🔒
VulDB Confiabilidad: 🔍

CNA Puntuación base: 8.8
CNA Vector (vmware): 🔒

CVSSv2información

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vector	Complejidad	Autenticación	Confidencialidad	Integridad	Disponibilidad
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear

VulDB Puntuación base: 🔒
VulDB Puntuación temporal: 🔒
VulDB Confiabilidad: 🔍

Explotacióninformación

Clase: Inyección SQL
CWE: CWE-89 / CWE-74 / CWE-707
CAPEC: 🔒
ATT&CK: 🔒

Físico: No
Local: No
Remoto: Sí

Disponibilidad: 🔒
Estado: No está definido

EPSS Score: 🔒
EPSS Percentile: 🔒

Predicción de precios: 🔍
Estimación del precio actual: 🔒

0-Day	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Hoy	Desbloquear	Desbloquear	Desbloquear	Desbloquear

Nessus ID: 304269
Nessus Nombre: Spring AI 1.0.x < 1.0.4 / 1.1.x < 1.1.3 Multiple Vulnerabilities

Inteligencia de amenazasinformación

Interés: 🔍
Actores activos: 🔍
Grupos APT activos: 🔍

Contramedidasinformación

Recomendación: Actualización
Estado: 🔍

Hora de 0 días: 🔒

Actualización: Spring AI 1.0.4/1.1.3

Línea de tiempoinformación

2026-01-09 CVE asignado
2026-03-18 +68 días Aviso publicado
2026-03-18 +0 días Entrada de VulDB creada
2026-03-30 +12 días Última actualización de VulDB