重大な認証バイパス脆弱性により、認証されていないリモートコード実行(RCE)がChromaDBアーキテクチャ内で特定されました。CVE-2026-45829として分類されたこの欠陥には、最大の CVSS 重大度スコアである 10.0 が割り当てられており、現在の安定版バージョン 1.5.8 配布版では軽減されたままです。
ChromaDBはオープンソースのベクトルデータベースエンジンとして機能し、高次元データセット上の意味的類似性検索を調整するために人工知能セクター全体で広く活用されています。このプラットフォームは月間約1,300万ダウンロードおよび27,500のGitHubスターを記録するなど、エンタープライズ開発者の間で実質的な業界的フットプリントを維持しており、その本番デプロイベースにはCapital OneやUnitedHealthcareなどの著名な企業エンティティが含まれています。
基盤となるアーキテクチャの欠陥はChromaDBのPythonベースのFastAPIサーバ実装に影響を与えます。実行時環境は、恥ずかしいことに、ユーザー指定の埋め込み関数の取り込みと実行を、アイデンティティ検証チェックの実行前に認可しています。このベクトルを武装させるために、認証されていない攻撃者は、ChromaDB Application Programming Interface(API)への標準的なHTTPラインオブサイトのみが必要であり、精密に不正形式の収集作成ペイロードを送信するだけです。
脆弱性はChromaDBが埋め込みモデルを初期化する正確な方法論から生じています。これらの特殊な機械学習アーキテクチャは、非構造化テキストを高次元の数値ベクトルに変換し、基盤となるデータストアが正確なキーワード一致がない場合でも意味的な調整を実行できるようにします。新しいドキュメント収集を初期化する場合、クライアントは対応するコンパイルパラメータとともに宛先モデルアーキテクチャを指定します。サーバはHTTPリクエストボディからこれらの設定変数を直接取り込み、その後Hugging Faceリポジトリをクエリして指定されたウェイトを取得して初期化します。
主な危険性は、検証されていないtrust_remote_code設定フラグの通過によって導入されます。Hugging Faceエコシステム内では、この特定のパラメータはモデルのリポジトリツリー内に本質的に埋め込まれた任意のPythonコードのダウンロードと実行を明確に認可します。歴史的には、高度にカスタマイズされた、または非標準的なニューラルネットワークアーキテクチャに対応するために必要でしたが、このパラダイムの下で検証されていないリポジトリを解析すると、標準的なモデル読み込みが非サンドボックスの任意のコード実行ループに変わります。ChromaDBは、検証ロジックが入力の構造化データ型のみを検証し、ブール値trueを完全に正当なものとして扱うため、このパラメータの注入を許可します。
障害の次元は、APIエンドポイントの順序付き実行パイプラインの深刻な欠陥を含みます。ただし、収集作成のターゲットルートは正式なユーザー認証を指定するために明示的に装飾されていますが、FastAPIルーティングエンジンは受信した構成モデルを解析し、リモートモデルダウンロードシーケンスを認可ハンドシェイクの実行前に開始します。その結果、認証されていないリクエストは最終的には実行チェーンの最後に access-denied ステータスコードで拒否されますが、武装化されたペイロードはすでにメモリ駐在実行を達成しています。外部ログの観点からは、この侵入は標準的な失敗したAPI呼び出しに映りますが、攻撃者はホストサーバプロセスを正常に傍受します。
成功した悪用に達すると、攻撃者は基盤となるChromaDBプロセスの絶対的な特権境界を継承し、ローカル化された環境変数、サードパーティのAPIトークン、埋め込まれたシークレットストア、および物理的なストレージメディア上に存在するrawデータボリュームへの無制限アクセスを許可します。
HiddenLayerによって公開された脅威インテリジェンステレメトリーによると、セキュリティリグレッションはChromaDBバージョン1.0.0で本質的に導入され、現在の1.5.8リリース候補を通じて持続しています。Shodan検索エンジンを通じて実行された公開スキャンクエリは、インターネット向けの公開されたChromaDBインスタンスの73%がバージョン1.0.0以降で実行されていることを明らかにし、グローバルデプロイメントフットプリントの大多数を直接露出ゾーン内に配置しています。
決定的なアップストリーム修復パッチは依然として未決済です。開示の著者は、ChromaDBが厳密なアイデンティティおよびアクセス管理(IAM)検証を実装するようにミドルウェアスタックを根本的に再構築し、実行時コレクション初期化中の実行段階パラメータの通過をカテゴリ的にブラックリストに登録する必要があると助言しています。公式のセキュリティアップデートが配布されるまで、システム管理者は、デプロイメントをRustベースの実行パスに移行することを強く促されています。これには、ネイティブchroma runコマンドアーキテクチャとバージョン1.0.0以降から鋳造された公式Docker Hubコンテナイメージが含まれます。これは並列エコシステムが完全に影響を受けません。Python FastAPIサーバ実装にバインドされた組織の場合、コアChromaDBネットワークポートへのアクセスは積極的にファイアウォールで保護される必要があり、入力を認証された信頼できる内部クライアントのみに制限します。
発見チームは2026年2月17日にChromaDB保守者に機密の脆弱性開示を最初に送信しました。継続的な関与の欠如に続いて、アナリストは代替通信回廊を通じて連続したエスカレーションシーケンスを開始しました。これには、IT-ISACコンソーシアムおよびセキュアソーシャルネットワークが含まれ、最後に認めていない発信試行は2026年4月16日に記録されました。
