Критична вразливість виконання коду без автентифікації в ChromaDB Python (CVE-2026-45829)
Вразливість CVE-2026-45829 дозволяє виконувати довільний код без автентифікації в ChromaDB Python. Рекомендується термінове оновлення та обмеження доступу.
- CVSS
- 10.0 CRITICAL
- EPSS
- 95.71%
- Активно використовується
- немає в KEV
- Продукт
- -
Що відомо
У версії 1.0.0 і новіших ChromaDB Python виявлено критичну вразливість, що дозволяє неавторизованому зловмиснику виконувати довільний код на сервері через відправку шкідливого репозиторію моделей з параметром trust_remote_code, встановленим у true.
Бізнес-вплив
Ця вразливість може призвести до повного контролю над сервером, що використовує уразливу версію ChromaDB Python, з можливістю виконання шкідливих дій, компрометації даних та порушення роботи сервісів. ІТ-оператори повинні розглянути ризики для інфраструктури та пріоритезувати оновлення або інші заходи безпеки.
Рекомендовані дії адміністратора
Рекомендується негайно перевірити наявність оновлень від розробника ChromaDB і застосувати їх. Якщо оновлення недоступні, слід обмежити доступ до API /api/v2/tenants/{tenant}/databases/{db}/collections, відключити параметр trust_remote_code, провести аудит логів на ознаки експлуатації та мінімізувати експозицію сервера в мережі.