CVE-2026-8828
WysokieCVSS 8.8Streszczenie
Brak walidacji autoryzacji w wersji 1.0.0 lub nowszej projektu ChromaDB w języku Rust pozwala każdemu uwierzytelnionemu użytkownikowi na dowolne odczytywanie, zapisywanie, aktualizowanie lub usuwanie danych w kolekcji dowolnego najemcy, niezależnie od przynależności do konkretnego najemcy.
Ocena ryzyka
Organizacja narażona jest na nieautoryzowany dostęp do danych, co może prowadzić do utraty poufności i integralności informacji. Potencjalne działania złośliwych użytkowników mogą wpłynąć na wszystkie kolekcje w systemie.
Rekomendacja
Zaleca się wprowadzenie odpowiednich mechanizmów walidacji autoryzacji, aby ograniczyć dostęp do danych tylko do uprawnionych użytkowników. Należy również rozważyć aktualizację do najnowszej wersji, jeśli dostępna.
Oryginalny opis (angielski, źródło NVD)
A lack of authorization validation in version 1.0.0 or later of the ChromaDB Rust project allows any authenticated users to arbitrarily read, write, update, or delete data in any tenant's collection regardless of which tenant they belong to.

