JVN iPedia http://jvndb.jvn.jp Advisory JVNDB-2026-013892 Spring AIでは、攻撃者がconversationIdを介してフィルタロジックを注入することにより、会話の分離を回避し、他のユーザーのチャット履歴から秘密情報や資格情報を含む機密メモリを窃取する可能性があります。VectorStoreChatMemoryAdvisorを使用し、ユーザー提供の入力をconversationIdとして渡すアプリケーションのみが影響を受けます。 cpe:/a:vmware:spring_ai https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-013892.html Common Vulnerabilities and Exposures (CVE) CVE-2026-40966 https://www.cve.org/CVERecord?id=CVE-2026-40966 National Vulnerability Database (NVD) CVE-2026-40966 https://nvd.nist.gov/vuln/detail/CVE-2026-40966 Spring Security Advisories CVE-2026-40966: VectorStoreChatMemoryAdvisor conversation scoping can lead to cross-tenant memory exfiltration https://spring.io/security/cve-2026-40966 JVNDB CWE-284 https://cwe.mitre.org/data/definitions/284.html 関連文書 NVD - CVSS v3 Calculator https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?version=3.1&vector=AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N 2026-05-01T10:47:44+09:00 2026-05-01T10:47:44+09:00