何が起きたか
Spring AI 1.0.0 以降の spring-ai-elasticsearch-store、spring-ai-opensearch-store、および spring-ai-gemfire-store コンポーネントは、メタデータフィルター式の特殊文字を適切にエスケープまたはサニタイズせず、基盤となるベクトルデータベースクエリエンジンに渡します。これにより、SQL インジェクションに類似した任意のクエリロジックの注入が可能になります。ただし、ベクトル検索バックエンドを対象としています。2026 年 6 月 15 日に VMware/Broadcom の Spring セキュリティチームによって CVSS 8.6 HIGH で公開されました。
なぜ重要か
ベクトルストアは RAG 駆動型 LLM アプリケーションの信頼できるナレッジベースです。ベクトルストア層に対するインジェクション攻撃により、攻撃者はすべての埋め込みドキュメント(機密ビジネスデータ、PII、認証情報を含む)を流出させたり、大規模な間接プロンプトインジェクションを通じて検索結果を破損させて LLM の応答を操作したり、高コストクエリを強制することでサービスを拒否したりできます。Spring AI はエンタープライズ RAG システム構築の主要な Java エコシステム向けパスであるため、これは多数の本番 AI デプロイメントに影響を与えます。
攻撃経路
攻撃者は、影響を受ける Spring AI ベクトルストアコンポーネントに渡されるメタデータフィルターパラメータで特別に細工された特殊文字を提供します。これらの文字は意図されたクエリコンテキストから抜け出し、Elasticsearch、OpenSearch、または GemFire VectorDB に対する任意のバックエンドクエリの実行を強制します。これにより、データ流出、テナント間データアクセス、または LLM で使用される RAG ナレッジベースの操作が可能になります。
影響を受けるシステム
Spring AI 1.0.0 から 1.0.x(spring-ai-elasticsearch-store、spring-ai-opensearch-store、spring-ai-gemfire-store)
緩和策
影響を受けるベクトルストアモジュールのメタデータフィルター入力の特殊文字をサニタイズする Spring AI パッチを適用してください。公式勧告を参照してください:https://spring.io/security/cve-2026-47835