漏洞概述 CVE编号: CVE-2026-45832 CVSS评分: 8.8 CWE分类: CWE-639: 授权绕过通过用户控制的键 影响范围 受影响产品: ChromaDB 版本从 0.5.0 到最新的 Python 发布版本。 修复方案 修复状态: 未提及具体修复方案。 详细信息 漏洞描述: V1 集合级端点将 作为租户和数据库传递给授权层,使得租户范围的访问控制在 V1 中不可能实现,无论配置了哪种授权提供程序。V1 无法禁用。 代码示例: 时间线 2026年2月17日: 首次向 ChromaDB 披露。 2026年2月24日: 尝试通过其他 trychroma 电子邮件跟进。 2026年3月5日: 尝试通过 IT-ISAC 联系。 2026年4月18日: 尝试通过所有先前渠道和社交媒体进行最终跟进。 2026年5月18日: 公开披露,未收到供应商的回应。 项目URL ChromaDB: https://www.trychroma.com/ GitHub: https://github.com/chroma-core/chroma 研究人员 Esteban Torget, 安全研究员, HiddenLayer