Die Schwachstelle mit dem Spitznamen “ChromaToast” offenbart ein fundamentales Sicherheitsdesign-Problem: Der Server vertraut auf Modellidentifikatoren, die von Clients stammen, und führt diese aus, bevor er die Benutzer authentifiziert. Angreifer können diese Vertrauenskette ausnutzen, indem sie bei einer Collection-Erstellungsanfrage auf ein präpariertes Hugging-Face-Modell verweisen — ohne dabei Anmeldedaten bereitzustellen.
HiddenLayer demonstrierte das Exploit-Szenario eindrucksvoll: Der ChromaDB-Server akzeptiert die Anfrage ohne Credentials, lädt das manipulierte Modell herunter, führt es aus und gewährt dem Angreifer Shell-Zugang — erst danach prüft der Server die fehlende Authentifizierung und lehnt die Anfrage ab. Zu diesem Zeitpunkt hat der Angreifer bereits vollständige Kontrolle.
Die Auswirkungen sind verheerend. Exploitatoren erhalten Zugriff auf alles, was der Server-Prozess erreichen kann: API-Schlüssel, Umgebungsvariablen, bereitgestellte Secrets und alle Dateien auf der Festplatte. Für Unternehmen bedeutet dies potenziell den Verlust kritischer Infrastruktur-Geheimnisse und sensibler Daten.
Besonders brisant ist der fehlende Patch. HiddenLayer berichtet von mehrfachen Meldeversuchen seit dem 17. Februar 2025 ohne Rückmeldung. Auch der unabhängige Sicherheitsforscher Azraelxuemo meldete die Lücke bereits im November 2025, erhielt aber ebenfalls keine Reaktion. Bis zur aktuellen Version 1.5.8 bleibt CVE-2026-45829 ungepatcht — während alle Versionen seit 1.0.0 betroffen sind.
Als Notfall-Mitigationsmassnahme empfehlen Experten, Netzwerkzugriffe auf ChromaDB auf vertrauenswürdige Clients zu beschränken. Eine echte Lösung erfordere jedoch Code-Änderungen: Die Authentifizierungsprüfung müsste vor dem Laden von Konfigurationen erfolgen, und alle ‘kwargs’-Parameter sollten aus Anfragen entfernt werden. Solange diese Fixes ausstehen, sollten deutsche Organisationen dringend ihre ChromaDB-Deployments überprüfen und Isolationsmassnahmen implementieren.