Критична вразливість виконання коду без автентифікації в ChromaDB Python (CVE-2026-45829)

Вразливість CVE-2026-45829 дозволяє виконувати довільний код без автентифікації в ChromaDB Python. Рекомендується термінове оновлення та обмеження доступу.
CVE-2026-45829CVSS 10.0Runtime

Критична вразливість виконання коду без автентифікації в ChromaDB Python (CVE-2026-45829)

Вразливість CVE-2026-45829 дозволяє виконувати довільний код без автентифікації в ChromaDB Python. Рекомендується термінове оновлення та обмеження доступу.

CVSS
10.0 CRITICAL
EPSS
95.71%
Активно використовується
немає в KEV
Продукт
-

Що відомо

У версії 1.0.0 і новіших ChromaDB Python виявлено критичну вразливість, що дозволяє неавторизованому зловмиснику виконувати довільний код на сервері через відправку шкідливого репозиторію моделей з параметром trust_remote_code, встановленим у true.

Бізнес-вплив

Ця вразливість може призвести до повного контролю над сервером, що використовує уразливу версію ChromaDB Python, з можливістю виконання шкідливих дій, компрометації даних та порушення роботи сервісів. ІТ-оператори повинні розглянути ризики для інфраструктури та пріоритезувати оновлення або інші заходи безпеки.

Рекомендовані дії адміністратора

Рекомендується негайно перевірити наявність оновлень від розробника ChromaDB і застосувати їх. Якщо оновлення недоступні, слід обмежити доступ до API /api/v2/tenants/{tenant}/databases/{db}/collections, відключити параметр trust_remote_code, провести аудит логів на ознаки експлуатації та мінімізувати експозицію сервера в мережі.

Джерела