Vcnnn8h 在 ChromaDB 代码执行漏洞(CVE - 2026 - 45829) 中发帖
ChromaDB Python项目1.0.0 及更高版本中的预认证、代码注入漏洞,允许未经身份验证的攻击者通过在 /api/v2/tenants/{tenant}/databases/{db}/collections 端点中发送恶意模型存储库并将 trust_remote_code 设置为 true 来在服务器上运行任意代码。
References
NVD - CVE-2026-45829
chroma-core/chroma#6717
ChromaToast Served Pre-Auth
FOFA全网资产:
[image]