Katalog CVE

CVE-2026-45830

WysokieCVSS 8.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.35%

Percentyl 26 - wyżej niż 26% wszystkich znanych CVE

Streszczenie

W ChromaDB Python w wersji 0.4.17 i nowszych brakuje walidacji autoryzacji, co pozwala każdemu uwierzytelnionemu użytkownikowi na dowolny odczyt, zapis, aktualizację lub usunięcie danych w kolekcji dowolnego dzierżawcy, niezależnie od przynależności do dzierżawcy.

Ocena ryzyka

Organizacja narażona jest na naruszenie izolacji danych między dzierżawcami, co może prowadzić do wycieku, modyfikacji lub utraty poufnych informacji biznesowych.

Rekomendacja

Należy natychmiast zaktualizować ChromaDB do wersji zawierającej poprawkę autoryzacji lub wdrożyć tymczasowe reguły firewall i ograniczenia dostępu do API.

Oryginalny opis (angielski, źródło NVD)

A lack of authorization validation in version 0.4.17 or later of the ChromaDB Python project allows any authenticated users to arbitrarily read, write, update, or delete data in any tenant's collection regardless of which tenant they belong to.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS