Krytyczna luka w ChromaDB umożliwiająca zdalne wykonanie kodu bez uwierzytelnienia

Krytyczna luka w ChromaDB Python pozwala na zdalne wykonanie kodu bez uwierzytelnienia. Zalecane szybkie działania zabezpieczające.
CVE-2026-45829CVSS 10.0Runtime

Krytyczna luka w ChromaDB umożliwiająca zdalne wykonanie kodu bez uwierzytelnienia

Krytyczna luka w ChromaDB Python pozwala na zdalne wykonanie kodu bez uwierzytelnienia. Zalecane szybkie działania zabezpieczające.

CVSS
10.0 CRITICAL
EPSS
95.71%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

W wersji 1.0.0 i nowszych projektu ChromaDB Python wykryto krytyczną lukę pozwalającą na zdalne wykonanie kodu bez uwierzytelnienia. Atakujący może przesłać złośliwy model oraz ustawić parametr trust_remote_code na true w endpointzie API, co umożliwia uruchomienie dowolnego kodu na serwerze.

Wpływ biznesowy

Luka o krytycznym poziomie CVSS 10.0 stwarza poważne zagrożenie dla bezpieczeństwa systemów wykorzystujących ChromaDB, umożliwiając atakującemu pełną kontrolę nad serwerem. Może to prowadzić do wycieku danych, utraty integralności systemu oraz przerw w działaniu usług. Operatorzy powinni traktować tę lukę jako priorytetową do analizy i zabezpieczenia.

Rekomendowane działania administratora

Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji lub poprawek od dostawcy ChromaDB. W międzyczasie ograniczyć dostęp do endpointu /api/v2/tenants/{tenant}/databases/{db}/collections, monitorować logi pod kątem podejrzanej aktywności oraz rozważyć wyłączenie opcji trust_remote_code, jeśli jest to możliwe. Priorytetowo przeprowadzić ocenę ryzyka i wdrożyć odpowiednie środki ochronne.

Źródła