Специалисты по кибербезопасности обнаружили критическую уязвимость в популярной системе управления базами данных ChromaDB. Она предназначена для хранения и обработки векторных представлений данных, что особенно востребовано в задачах искусственного интеллекта и семантического поиска. Проблема получила идентификатор CVE-2026-45829, а в профессиональной среде ей уже присвоили неформальное название ChromaToast Served Pre-Auth. Эта уязвимость класса CWE-94 связана с неверным управлением генерацией кода.
Детали уязвимости
Суть проблемы заключается в том, что вредоносный запрос может быть обработан сервером FastAPI (популярного веб-фреймворка для создания API) до проверки подлинности пользователя. То есть злоумышленнику не нужно вводить пароль или обладать какими-либо учётными данными. Ему достаточно отправить специально сформированный HTTP-запрос к одному из эндпоинтов, отвечающих за создание коллекций данных. В этом запросе он указывает конфигурацию модели для преобразования текста в векторы, ссылаясь на свой репозиторий в экосистеме HuggingFace (платформе для обмена моделями машинного обучения). Дополнительно он устанавливает флаг, разрешающий выполнение произвольного кода из этого репозитория. Сервер, не проверив права доступа, загружает модель, и вредоносный код выполняется в системе.
Согласно данным из открытых источников, уязвимость затрагивает все версии ChromaDB, начиная с первой точки ноль и заканчивая версией один точка пять точка восемь. При этом официального обновления, устраняющего проблему, пока не выпущено. Эксплойты уже опубликованы в открытом доступе. Оценки по международной шкале CVSS четвёртого поколения достигли десяти баллов - максимально критический уровень опасности.
ChromaDB за последние годы приобрела широкую популярность. По разным оценкам, её ежемесячно загружают через менеджер пакетов Python около тринадцати миллионов раз. На платформе совместной разработки GitHub проект собрал более двадцати семи с половиной тысяч звёзд. В публичных материалах упоминается использование ChromaDB такими компаниями, как Mintlify, Weights & Biases и Factory AI. Кроме того, в официальной документации в качестве примеров корпоративного применения приводятся Capital One и UnitedHealthcare. Столь широкое распространение делает уязвимость особенно опасной.
Результаты сканирования открытых инстанций ChromaDB показывают, что приблизительно семьдесят три процента развёртываний, доступных из интернета, работают в уязвимом диапазоне версий. Это означает, что тысячи серверов могут быть атакованы без каких-либо усилий со стороны злоумышленника. Ему достаточно найти такую инстанцию и отправить один-единственный запрос.
Технический механизм атаки выглядит следующим образом: Злоумышленник отправляет POST-запрос к эндпоинту, предназначенному для создания коллекций. В теле запроса он передаёт JSON-объект, содержащий конфигурацию функции создания векторных представлений. В этой конфигурации указывается имя модели на платформе HuggingFace и параметр, разрешающий доверять удалённому коду. Сервер обрабатывает эти данные в первую очередь, загружает модель из указанного репозитория и выполняет встроенный в неё код. Вредоносный код может, к примеру, открыть обратную командную оболочку, передать управление атакующему или скопировать данные из окружения. И только после этого сервер выполняет проверку аутентификации, которая возвращает ошибку. Для внешнего наблюдателя запрос выглядит отклонённым, но код уже выполнен.
В результате успешной атаки злоумышленник получает полный контроль над процессом ChromaDB. Он может прочитать переменные окружения, в которых часто хранятся ключи доступа к облачным сервисам, API-ключи и пароли. Ему становятся доступны любые данные, хранящиеся на диске от имени этого процесса, включая все векторные базы данных. Более того, он может использовать захваченный сервер как плацдарм для атак на другие системы в той же внутренней сети.
Специалисты подчёркивают, что первоочередная мера защиты - это ограничение сетевого доступа. Необходимо использовать межсетевые экраны, чтобы сервер ChromaDB был доступен только доверенным клиентам из белого списка. Ни в коем случае нельзя выставлять такую службу напрямую в интернет. Также рекомендуется применять класс программных продуктов для управления событиями информационной безопасности и корреляции данных - SIEM-системы. Они помогут отследить попытки эксплуатации уязвимости.
В качестве дополнительных защитных действий эксперты советуют удалить неиспользуемые учётные записи пользователей и максимально ограничить их привилегии. Если это возможно, следует перейти на развёртывание на основе языка программирования Rust или использовать официальные образы Docker. Они не подвержены данной уязвимости, поскольку в них не задействован уязвимый веб-сервер FastAPI.
Пока разработчики не выпустят исправление, ответственность за безопасность ложится на плечи администраторов. Важно помнить, что любая ссылка на внешнюю модель машинного обучения из ненадёжного источника - это потенциальный вектор атаки. Ситуация наглядно демонстрирует, как удобная функция, позволяющая гибко настраивать поведение системы, может обернуться критической брешью в защите. ChromaDB продолжает наращивать популярность в экосистеме искусственного интеллекта, и обнаруженная уязвимость служит серьёзным предупреждением для всех, кто использует подобные инструменты без должного контроля доступа.
Ссылки
- https://bdu.fstec.ru/vul/2026-07111
- https://www.cve.org/CVERecord?id=CVE-2026-45829
- https://thecyberexpress.com/cve-2026-45829-chromatoast-chromadb/
- https://github.com/chroma-core/chroma/issues/6717
