Le 26 mai 2026, les autorités françaises de cybersécurité ont publié un avis de sécurité concernant une vulnérabilité découverte dans Spring AI, un framework open source dédié au développement d'applications d'intelligence artificielle en Java.
Nature de la vulnérabilité
La faille, référencée sous l'identifiant CVE-2026-41863, permet à un attaquant de porter atteinte à l'intégrité des données manipulées par l'application. Selon l'avis officiel, le risque est spécifiquement une atteinte à l'intégrité, sans mention d'une compromission de la confidentialité ou de la disponibilité.
Versions concernées
Sont vulnérables toutes les versions de Spring AI de la branche 1.1.x antérieures à la version 1.1.7. Les utilisateurs de ces versions sont invités à mettre à jour leur environnement vers la version corrigée.
Mesures de correction
L'éditeur du projet Spring (VMware) a publié un bulletin de sécurité dédié, accessible depuis son site officiel, détaillant le correctif à appliquer. Les administrateurs et développeurs utilisant Spring AI doivent se référer à cette documentation pour obtenir et installer la mise à jour.
Recommandations
Le CERT-FR, l'agence nationale de la sécurité des systèmes d'information, conseille de procéder sans délai à l'application du correctif afin de prévenir toute exploitation de cette vulnérabilité. Aucune information n'a été communiquée quant à une éventuelle exploitation active de cette faille à ce jour.
