RBAC Authorization Bypass: Resource Context Ignored 漏洞概述 ChromaDBs SimpleRBACAuthorizationProvider,唯一的内置RBAC提供者和官方文档示例中使用的提供者,评估用户是否持有权限,但从不检查权限适用的租户、数据库或集合。配置为只读访问特定租户的用户可以读取任何租户的数据。具有写入权限的用户可以修改所有租户的数据。 影响范围 此漏洞影响ChromaDB从0.5.0到发布时最新版本的版本。 CVSS Score 8.8 CWE Categorization CWE-862: Incorrect Authorization 详细信息 漏洞位于 。初始化代码构建用户ID到操作集的映射: 授权决策在 中仅检查用户操作集是否包含请求的操作: 资源参数是 类型,定义在 : 它携带租户、数据库和集合上下文用于授权决策,但 从不读取 、 或 。决策纯粹是 中的操作。 时间线 2025年2月17日 - 首次向ChromaDB披露,通过其安全页面 https://www.trychroma.com/security 2025年2月24日 - 通过其他trychroma电子邮件尝试跟进 2025年3月5日 - 通过IT-ISAC尝试联系 2025年4月18日 - 尝试通过所有先前渠道和社交媒体进行最终跟进 2025年5月19日 - 公开披露第一个漏洞,未收到供应商的回应 项目URL https://www.trychroma.com/ https://github.com/chroma-core/chroma/ 研究员:Esteban Tonguet,安全研究员,HiddenLayer