JVN iPedia http://jvndb.jvn.jp Advisory JVNDB-2026-013885 Spring AIの`CosmosDBVectorStore`にはSQLインジェクションの脆弱性が存在し、攻撃者が細工されたドキュメントIDを利用して任意のSQLクエリを実行できる可能性があります。この脆弱性はSpring AIのバージョン1.0.0から1.0.5および1.1.0から1.1.4に影響を与え、それぞれバージョン1.0.6と1.1.5で修正されています。 cpe:/a:vmware:spring_ai https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-013885.html Common Vulnerabilities and Exposures (CVE) CVE-2026-40978 https://www.cve.org/CVERecord?id=CVE-2026-40978 National Vulnerability Database (NVD) CVE-2026-40978 https://nvd.nist.gov/vuln/detail/CVE-2026-40978 Spring Security Advisories CVE-2026-40978: SQL Injection in CosmosDBVectorStore.doDelete() https://spring.io/security/cve-2026-40978 JVNDB CWE-89 https://jvndb.jvn.jp/ja/cwe/CWE-89.html 2026-05-01T10:47:24+09:00 2026-05-01T10:47:24+09:00