Apa yang terjadi
Komponen spring-ai-elasticsearch-store, spring-ai-opensearch-store, dan spring-ai-gemfire-store dalam Spring AI 1.0.0 dan yang lebih baru tidak dengan benar menghindari atau membersihkan karakter khusus dalam ekspresi filter metadata sebelum meneruskannya ke mesin kueri basis data vektor yang mendasar. Ini memungkinkan injeksi logika kueri arbitrer, serupa dengan injeksi SQL namun menargetkan backend pencarian vektor. Dipublikasikan 15 Juni 2026 dengan CVSS 8.6 HIGH oleh tim keamanan Spring milik VMware/Broadcom.
Mengapa penting
Vector stores adalah basis pengetahuan otoritatif untuk aplikasi LLM yang didukung RAG. Serangan injeksi terhadap lapisan vector store memungkinkan penyerang untuk mengeksfiltrasikan semua dokumen tertanam (termasuk data bisnis proprieter, PII, atau kredensial), merusak hasil pengambilan untuk memanipulasi respons LLM (injeksi prompt tidak langsung dalam skala besar), atau menolak layanan dengan memaksa kueri yang mahal. Karena Spring AI adalah jalur ekosistem Java yang dominan untuk membangun sistem RAG perusahaan, ini mempengaruhi populasi besar penerapan AI produksi.
Vektor serangan
Penyerang menyuplai karakter khusus yang dirancang khusus dalam parameter filter metadata yang diteruskan ke komponen vector store Spring AI yang terpengaruh. Karakter-karakter ini keluar dari konteks kueri yang dimaksudkan dan memaksa eksekusi kueri backend arbitrer terhadap Elasticsearch, OpenSearch, atau GemFire VectorDB — memungkinkan eksfiltrasi data, akses data lintas penyewa, atau manipulasi basis pengetahuan RAG yang digunakan oleh LLM.
Sistem yang terdampak
Spring AI 1.0.0 melalui 1.0.x (spring-ai-elasticsearch-store, spring-ai-opensearch-store, spring-ai-gemfire-store)
Mitigasi
Terapkan patch Spring AI yang membersihkan karakter khusus dalam input filter metadata untuk modul vector store yang terpengaruh. Lihat pemberitahuan resmi: https://spring.io/security/cve-2026-47835