CVE-2026-45831
WysokieCVSS 8.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 13 - wyżej niż 13% wszystkich znanych CVE
Streszczenie
W dostawcach autoryzacji SimpleRBACAuthorizationProvider w wersjach 0.5.0 i nowszych projektu ChromaDB występuje luka, która pozwala na ocenę uprawnień użytkownika bez sprawdzania, do którego najemcy, bazy danych lub kolekcji te uprawnienia się odnoszą.
Ocena ryzyka
To może prowadzić do nieautoryzowanych działań między najemcami, co stwarza poważne zagrożenie dla bezpieczeństwa danych w organizacji.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji ChromaDB oraz wdrożenie dodatkowych kontroli dostępu, aby ograniczyć działania między najemcami.
Oryginalny opis (angielski, źródło NVD)
The SimpleRBACAuthorizationProvider authorization provider in versions 0.5.0 or later of the ChromaDB Python project evaluates whether a user holds a given permission but never checks which tenant, database, or collection that permission applies to allowing users to perform cross tenant actions.

