Spring-ai-bedrock-converse Spring AI содержит уязвимость подделки запросов на стороне сервера (SSRF) в BedrockProxyChatModel при обработке мультимодальных сообщений, которые включают предоставленные пользователем URL-адреса мультимедиа. Недостаточная проверка этих URL-адресов позволяет злоумышленнику заставить сервер отправлять HTTP-запросы к непредусмотренным внутренним или внешним адресатам.
Эта проблема затрагивает Spring AI: с версии 1.0.0 до 1.0.5, с версии 1.1.0 до 1.1.4.
Показать оригинальное описание (EN)
Spring AI's spring-ai-bedrock-converse contains a Server-Side Request Forgery (SSRF) vulnerability in BedrockProxyChatModel when processing multimodal messages that include user-supplied media URLs. Insufficient validation of those URLs allows an attacker to induce the server to issue HTTP requests to unintended internal or external destinations. This issue affects Spring AI: from 1.0.0 before 1.0.5, from 1.1.0 before 1.1.4.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 2
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Vmware Spring_Ai
cpe:2.3:a:vmware:spring_ai:*:*:*:*:*:*:*:*
|
1.0.0
|
1.0.5
|
|
Vmware Spring_Ai
cpe:2.3:a:vmware:spring_ai:*:*:*:*:*:*:*:*
|
1.1.0
|
1.1.4
|