Katalog CVE

CVE-2026-45831

WysokieCVSS 8.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.23%

Percentyl 13 - wyżej niż 13% wszystkich znanych CVE

Streszczenie

W dostawcach autoryzacji SimpleRBACAuthorizationProvider w wersjach 0.5.0 i nowszych projektu ChromaDB występuje luka, która pozwala na ocenę uprawnień użytkownika bez sprawdzania, do którego najemcy, bazy danych lub kolekcji te uprawnienia się odnoszą.

Ocena ryzyka

To może prowadzić do nieautoryzowanych działań między najemcami, co stwarza poważne zagrożenie dla bezpieczeństwa danych w organizacji.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji ChromaDB oraz wdrożenie dodatkowych kontroli dostępu, aby ograniczyć działania między najemcami.

Oryginalny opis (angielski, źródło NVD)

The SimpleRBACAuthorizationProvider authorization provider in versions 0.5.0 or later of the ChromaDB Python project evaluates whether a user holds a given permission but never checks which tenant, database, or collection that permission applies to allowing users to perform cross tenant actions.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS