spring
CVE-2026-40966:VectorStoreChatMemoryAdvisor 会话作用域可能导致跨租户记忆数据外泄
中危 | 2026年4月27日 | CVE-2026-40966
描述
在 Spring AI 中,攻击者可能通过 conversationId 注入过滤逻辑,绕过会话隔离机制,并从其他用户的聊天历史中导出敏感记忆数据,其中可能包括密钥、凭据以及其他不应跨用户访问的信息。
该问题主要影响使用 VectorStoreChatMemoryAdvisor 的应用。如果应用将用户提供的输入直接作为 conversationId 传入,并且没有对该参数进行严格校验或隔离处理,就可能使攻击者构造异常的会话标识,从而访问到其他用户或其他租户的历史记忆内容。
受影响场景集中在多用户、多租户或带有长期对话记忆能力的 AI 应用中。由于聊天记忆中可能保存上下文摘要、用户输入、系统交互记录或与业务相关的敏感信息,跨租户记忆外泄可能带来数据泄露、权限边界失效和隐私风险。
受影响的 Spring 产品和版本
受影响产品为 Spring AI,涉及以下版本:
● 1.0.0 - 1.0.x
● 1.1.0 - 1.1.x
缓解措施
受影响版本的用户应升级到对应的修复版本。升级后,相关会话作用域和过滤逻辑会得到修正,降低通过 conversationId 绕过隔离机制的风险。
无需采取额外缓解措施。建议受影响用户尽快升级至修复版本,并在升级后重点验证多用户会话隔离、历史记忆读取、租户边界控制和异常 conversationId 请求处理结果。
处理建议
建议先确认应用是否使用 Spring AI 的 VectorStoreChatMemoryAdvisor,并检查是否允许用户输入直接参与 conversationId 生成或查询过滤。如果会话标识来自请求参数、前端传值、接口入参或外部系统调用,应尽快完成输入校验与权限绑定检查。
对于多租户应用,conversationId 不应单独作为访问记忆数据的可信边界。建议将用户身份、租户标识、会话标识进行绑定校验,确保请求只能访问当前用户和当前租户范围内的数据。
同时,应检查向量存储中的历史聊天记忆,确认是否存在过度保存密钥、令牌、连接串、账号密码等敏感内容。对于已经写入记忆库的敏感数据,应结合业务影响进行清理、脱敏或凭据轮换。
