Katalog CVE

CVE-2026-45833

WysokieCVSS 8.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.34%

Percentyl 26 - wyżej niż 26% wszystkich znanych CVE

Streszczenie

Podatność polegająca na wstrzykiwaniu kodu w projekcie ChromaDB w wersji 0.4.17 i nowszych. Uwierzytelniony atakujący z uprawnieniami UPDATE_COLLECTION może wysłać złośliwe repozytorium modelu z włączoną opcją trust_remote_code, co pozwala na wykonanie dowolnego kodu na serwerze.

Ocena ryzyka

Ryzyko przejęcia kontroli nad serwerem ChromaDB przez uwierzytelnionego atakującego, co może prowadzić do kradzieży danych, modyfikacji kolekcji lub dalszego ataku na infrastrukturę.

Rekomendacja

Zaleca się natychmiastową aktualizację ChromaDB do najnowszej wersji łatającej podatność oraz ograniczenie uprawnień UPDATE_COLLECTION tylko do zaufanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

A code injection vulnerability in version 0.4.17 or later of the ChromaDB Python project allows an authenticated attacker to run arbitrary code on the server by sending a malicious model repository and trust_remote_code set to true in the /api/v2/tenants/default_tenant/databases/default_database/collections/{collection_id} if they have the UPDATE_COLLECTION permission.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS