Nach Darstellung von HiddenLayer beruht CVE-2026-45829 auf zwei voneinander unabhängigen Fehlern, die sich gegenseitig verstärken. Der Server vertraut von Clients übermittelten Modellkennungen ohne jede Einschränkung – und handelt auf Grundlage dieses Vertrauens, bevor er den anfragenden Nutzer überhaupt authentifiziert.
Ein nicht authentifizierter Angreifer kann die Lücke auslösen, indem er ein präpariertes HuggingFace-Modell angibt, das noch vor den Authentifizierungsprüfungen ausgeführt wird. Auf diesem Weg erhält er Shell-Zugriff. In seinem Test schickte HiddenLayer eine Anfrage zur Erstellung einer Collection, die keine Zugangsdaten enthielt, aber auf ein manipuliertes HuggingFace-Modell verwies.
„Obwohl keine Zugangsdaten übermittelt wurden, akzeptiert der Server die Anfrage, wendet sich an HuggingFace, lädt unser Modell herunter und führt es aus. Erst danach führt der Server seine Authentifizierungsprüfung durch und weist die Anfrage zurück“, erläutert das Unternehmen.
Eine vollständige Behebung im Code würde laut HiddenLayer bedeuten, die Authentifizierungsprüfung vor das Laden der Konfiguration zu ziehen und alle mit „kwargs“ benannten Schlüssel aus den Anfragen zu entfernen – und zwar sowohl im V1- als auch im V2-Handler von create_collection. In ChromaDB 1.5.8 ist dies jedoch nicht umgesetzt.
Solange kein Patch vorliegt, lässt sich die Lücke laut HiddenLayer eindämmen, indem der Netzwerkzugriff auf ChromaDB auf vertrauenswürdige Clients beschränkt wird.
HiddenLayer gibt an, seit Mitte Februar mehrfach und über verschiedene Kanäle versucht zu haben, das Problem an Chroma zu melden, jedoch keine Antwort erhalten zu haben. Auch der unabhängige Forscher Azraelxuemo erklärt, die Schwachstelle im November 2025 gemeldet zu haben – ebenfalls ohne Reaktion.
SecurityWeek hat Chroma um eine Stellungnahme gebeten und will den Artikel aktualisieren, falls das Unternehmen antwortet.
