spring
CVE-2026-40979:ONNX 模型缓存默认使用全局可写且可预测的 /tmp 目录
中危 | 2026年4月27日 | CVE-2026-40979
描述
在 Spring AI 中,如果应用运行在共享环境中,可能会导致应用所使用的 ONNX 模型暴露。该问题主要与模型缓存机制有关:当应用使用默认缓存位置,并且缓存目录位于全局可写、路径可预测的 /tmp 目录时,其他具备同一共享环境访问能力的用户或进程可能接触到相关模型文件。
仅当应用使用 TransformersEmbeddingModel,并且启用了缓存,同时继续使用默认缓存位置时,才会受到影响。如果应用没有使用该模型能力,或者已经将缓存目录配置到受控路径下,则不属于该漏洞描述的主要影响范围。
该问题的风险重点在于共享运行环境中的文件访问边界。ONNX 模型可能包含模型结构、权重文件或与应用推理流程相关的内容。若缓存目录权限控制不当,可能造成模型文件被读取、替换或干扰,进而影响应用的稳定性、数据安全和推理结果可信度。
受影响的 Spring 产品和版本
受影响产品为 Spring AI,涉及以下版本:
● 1.0.0 - 1.0.x
● 1.1.0 - 1.1.x
缓解措施
受影响版本的用户应升级到对应的修复版本。升级后,默认缓存路径和相关缓存处理逻辑会得到修正,降低模型文件暴露在共享目录中的风险。
无需采取额外缓解措施。建议受影响用户尽快升级至修复版本,并在升级后验证模型加载、缓存生成、应用启动和推理调用是否正常。
处理建议
建议先确认应用是否使用 Spring AI 的 TransformersEmbeddingModel,并检查是否启用了模型缓存。如果使用了默认缓存目录,应重点排查缓存文件是否被写入 /tmp 等共享路径。
对于生产环境和多用户环境,不建议将模型缓存放在全局可写目录中。应将缓存路径调整到应用专属目录,并通过文件系统权限限制其他用户或进程访问。容器化部署场景中,也应避免多个应用实例共享同一可写缓存目录。
同时,应检查历史缓存目录中是否存在异常模型文件、异常权限设置或不明来源的缓存内容。若发现模型文件可能被非授权访问或修改,建议清理缓存后重新拉取可信模型,并结合部署环境收紧目录权限。
