Katalog CVE

CVE-2026-45832

WysokieCVSS 8.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.28%

Percentyl 20 - wyżej niż 20% wszystkich znanych CVE

Streszczenie

Podatność w ChromaDB pozwala na ominięcie kontroli autoryzacji poprzez wykorzystanie endpointów V1, które przekazują wartość None dla dzierżawcy i bazy danych do warstwy autoryzacyjnej.

Ocena ryzyka

Atakujący może uzyskać nieautoryzowany dostęp do danych lub wykonać operacje na kolekcjach bez odpowiednich uprawnień, co narusza poufność i integralność systemu.

Rekomendacja

Należy natychmiast zaktualizować ChromaDB do wersji, w której poprawiono obsługę autoryzacji dla endpointów V1, lub zastosować tymczasowe reguły firewall blokujące dostęp do tych endpointów.

Oryginalny opis (angielski, źródło NVD)

All V1 collection-level endpoints in ChromaDB's Python project pass None for the tenant and database to the authorization layer, allowing attackers to bypass authorization controls by using the V1 endpoints.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS