漏洞概述 CVE编号: CVE-2026-45830 CVSS评分: 8.8 CWE分类: CWE-639 - 通过用户控制的键绕过授权 漏洞描述: 该漏洞存在于Rust代码库中,任何拥有有效集合UUID的已认证用户都可以读取、写入、更新或删除任何租户的集合数据,无论他们属于哪个租户。ChromaDB的集合查找功能在提供UUID时跳过了租户和数据库过滤器。 影响范围 受影响产品: Rust ChromaDB版本从1.0.0到最新版本。 修复方案 修复状态: 页面未提供具体的修复方案或补丁信息。 时间线 2026年2月17日: 首次向ChromaDB披露。 2026年2月24日: 通过其他trychroma邮件跟进。 2026年3月5日: 尝试通过IT-ISAC联系。 2026年4月18日: 尝试通过所有渠道和社交媒体进行最终跟进。 2026年5月18日: 公开披露第一个漏洞,未收到供应商回应。 项目URL 官方网站: https://www.trychroma.com/ GitHub仓库: https://github.com/chroma-core/chroma/ 研究员 研究员: Esteban Tonguet,安全研究员,HiddenLayer 相关安全公告 CVE-2026-45831: 通过update_collection实现后认证RCE CVE-2026-45832: V1 API租户隔离绕过通过Null租户/数据库上下文 POC代码