Apa yang terjadi
Komponen spring-ai-elasticsearch-store, spring-ai-opensearch-store, dan spring-ai-gemfire-store di Spring AI 1.0.0 dan lebih baru tidak dengan benar meloloskan atau membersihkan karakter khusus dalam ekspresi filter metadata sebelum meneruskannya ke mesin query database vektor yang mendasar. Ini memungkinkan injeksi logika query arbitrer, analog dengan SQL injection tetapi menargetkan backend pencarian vektor. Dipublikasikan 15 Juni 2026 dengan CVSS 8.6 HIGH oleh tim keamanan Spring milik VMware/Broadcom.
Mengapa penting
Vector stores adalah basis pengetahuan otoritatif untuk aplikasi LLM bertenaga RAG. Serangan injeksi terhadap lapisan vector store memungkinkan penyerang untuk mengeksfiltrasikan semua dokumen tertanam (termasuk data bisnis proprietary, PII, atau kredensial), merusak hasil pengambilan untuk memanipulasi respons LLM (indirect prompt injection dalam skala besar), atau menolak layanan dengan memaksa query yang mahal. Karena Spring AI adalah jalur ekosistem Java yang dominan untuk membangun sistem RAG perusahaan, ini mempengaruhi populasi besar dari deployment AI produksi.
Vektor serangan
Penyerang menyuplai karakter khusus yang dirancang dengan cermat dalam parameter filter metadata yang diteruskan ke komponen vector store Spring AI yang terpengaruh. Karakter-karakter ini keluar dari konteks query yang dimaksudkan dan memaksa eksekusi query backend arbitrer terhadap Elasticsearch, OpenSearch, atau GemFire VectorDB — memungkinkan eksfilitrasi data, akses data lintas penyewa, atau manipulasi basis pengetahuan RAG yang digunakan oleh LLM.
Sistem yang terdampak
Spring AI 1.0.0 hingga 1.0.x (spring-ai-elasticsearch-store, spring-ai-opensearch-store, spring-ai-gemfire-store)
Mitigasi
Terapkan patch Spring AI yang membersihkan karakter khusus dalam input filter metadata untuk modul vector store yang terpengaruh. Lihat pemberitahuan resmi: https://spring.io/security/cve-2026-47835