CVE-2026-45832
WysokieCVSS 8.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 20 - wyżej niż 20% wszystkich znanych CVE
Streszczenie
Podatność w ChromaDB pozwala na ominięcie kontroli autoryzacji poprzez wykorzystanie endpointów V1, które przekazują wartość None dla dzierżawcy i bazy danych do warstwy autoryzacyjnej.
Ocena ryzyka
Atakujący może uzyskać nieautoryzowany dostęp do danych lub wykonać operacje na kolekcjach bez odpowiednich uprawnień, co narusza poufność i integralność systemu.
Rekomendacja
Należy natychmiast zaktualizować ChromaDB do wersji, w której poprawiono obsługę autoryzacji dla endpointów V1, lub zastosować tymczasowe reguły firewall blokujące dostęp do tych endpointów.
Oryginalny opis (angielski, źródło NVD)
All V1 collection-level endpoints in ChromaDB's Python project pass None for the tenant and database to the authorization layer, allowing attackers to bypass authorization controls by using the V1 endpoints.

