SecAtor
@true_secator
HiddenLayer сообщает, что неустраненная уязвимость ChromaDB может привести к захвату сервера, причем реализуется удалённо, без аутентификации, для выполнения произвольного кода и утечки конфиденциальной информации.
ChromaDB - это векторная база данных с открытым исходным кодом для создания приложений ИИ. Ежемесячно её загружают около 13 млн. раз, и ею пользуются такие известные организации, как Mintlify, Factory AI и Weights & Biases.
Уязвимость отслеживается как CVE-2026-45829 и известна как ChromaToast. Она представляет собой RCE-уязвимость до аутентификации, которая может быть использована для утечки конфиденциальной информации, к которой имеет доступ сервер, включая ключи API, переменные среды, смонтированные секреты и все файлы на диске.
Основной причиной CVE-2026-45829 являются две независимые ошибки, усугубляющие друг друга. Сервер без ограничений доверяет предоставленным клиентом идентификаторам модели и действует на основе этого доверия, прежде чем аутентифицировать пользователя, отправляющего запрос.
Как поясняет HiddenLayer, неавторизованный злоумышленник может активировать уязвимость, предоставив вредоносную модель HuggingFace, которая выполняется до проверки подлинности, обеспечивая злоумышленнику доступ к командной оболочке.
HiddenLayer воспользовались этой уязвимостью, отправив запрос на создание коллекции, который не содержал учетных данных, но указывал на специально созданную модель HuggingFace.
Несмотря на отсутствие предоставленных учетных данных, сервер принимает запрос, связывается с HuggingFace, загружает модель и выполняет ее. Только после этого сервер выполняет проверку подлинности и отклоняет запрос.
Успешная эксплуатация этой уязвимости предоставляет злоумышленнику полный контроль над серверным процессом и доступ ко всему, до чего он может дотянуться.
По данным HiddenLayer, уязвимость затрагивает все версии ChromaDB, начиная с 1.0.0, и примерно 73% доступных через интернет развертываний подвержены ей.
Исследователи неоднократно пытались сообщить о проблеме в Chroma по различным каналам, начиная с 17 февраля, но так и не получили ответа. Независимый исследователь Azraelxuemo утверждает, что сообщил об уязвимости еще в ноябре 2025, но также не получил ответа.
Полное исправление кода заключалось бы в перемещении проверки аутентификации перед загрузкой конфигурации и удалении любых ключей с именем kwargs из запросов как в обработчиках create_collection версий V1, так и V2. Однако в ChromaDB 1.5.8 этого не было сделано.
Так что, можно смело констатировать, что CVE-2026-45829 не исправлена и потенциально делает развертывания ChromaDB уязвимыми для атак с целью захвата. Как отмечает HiddenLayer, ограничение доступа к ChromaDB по сети только для доверенных клиентов должно устранить ошибку.
ChromaDB - это векторная база данных с открытым исходным кодом для создания приложений ИИ. Ежемесячно её загружают около 13 млн. раз, и ею пользуются такие известные организации, как Mintlify, Factory AI и Weights & Biases.
Уязвимость отслеживается как CVE-2026-45829 и известна как ChromaToast. Она представляет собой RCE-уязвимость до аутентификации, которая может быть использована для утечки конфиденциальной информации, к которой имеет доступ сервер, включая ключи API, переменные среды, смонтированные секреты и все файлы на диске.
Основной причиной CVE-2026-45829 являются две независимые ошибки, усугубляющие друг друга. Сервер без ограничений доверяет предоставленным клиентом идентификаторам модели и действует на основе этого доверия, прежде чем аутентифицировать пользователя, отправляющего запрос.
Как поясняет HiddenLayer, неавторизованный злоумышленник может активировать уязвимость, предоставив вредоносную модель HuggingFace, которая выполняется до проверки подлинности, обеспечивая злоумышленнику доступ к командной оболочке.
HiddenLayer воспользовались этой уязвимостью, отправив запрос на создание коллекции, который не содержал учетных данных, но указывал на специально созданную модель HuggingFace.
Несмотря на отсутствие предоставленных учетных данных, сервер принимает запрос, связывается с HuggingFace, загружает модель и выполняет ее. Только после этого сервер выполняет проверку подлинности и отклоняет запрос.
Успешная эксплуатация этой уязвимости предоставляет злоумышленнику полный контроль над серверным процессом и доступ ко всему, до чего он может дотянуться.
По данным HiddenLayer, уязвимость затрагивает все версии ChromaDB, начиная с 1.0.0, и примерно 73% доступных через интернет развертываний подвержены ей.
Исследователи неоднократно пытались сообщить о проблеме в Chroma по различным каналам, начиная с 17 февраля, но так и не получили ответа. Независимый исследователь Azraelxuemo утверждает, что сообщил об уязвимости еще в ноябре 2025, но также не получил ответа.
Полное исправление кода заключалось бы в перемещении проверки аутентификации перед загрузкой конфигурации и удалении любых ключей с именем kwargs из запросов как в обработчиках create_collection версий V1, так и V2. Однако в ChromaDB 1.5.8 этого не было сделано.
Так что, можно смело констатировать, что CVE-2026-45829 не исправлена и потенциально делает развертывания ChromaDB уязвимыми для атак с целью захвата. Как отмечает HiddenLayer, ограничение доступа к ChromaDB по сети только для доверенных клиентов должно устранить ошибку.
Hiddenlayer
ChromaToast Served Pre-Auth
HiddenLayer researchers uncovered CVE-2026-45829, a critical vulnerability in ChromaDB’s Python server that enables unauthenticated remote code execution through malicious HuggingFace model loading.
10 5.2K
Обсуждение 0
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram