Den Kern der Schwachstelle bildet laut HiddenLayer ein API-Endpunkt, der als authentifiziert gekennzeichnet ist, die Authentifizierung aber zu spät prüft. Angreifer können vor dieser Prüfung Modelleinstellungen einschleusen. Mit einer präparierten Anfrage lässt sich ChromaDB dazu bringen, ein bösartiges Modell von der Plattform Hugging Face zu laden und lokal auszuführen – die Authentifizierung greift erst danach.
„Die Authentifizierung fehlt nicht, sie steht nur an der falschen Stelle“, erklärt HiddenLayer. Zu dem Zeitpunkt, an dem sie ausgelöst werde, sei das Modell bereits geladen und ausgeführt worden. Der Server weise die Anfrage zwar ab und liefere einen 500er-Fehler zurück, doch der Schadcode des Angreifers sei zu diesem Zeitpunkt schon gelaufen.
Eingeführt wurde der Fehler laut den Forschern mit ChromaDB 1.0.0; auch in Version 1.5.8 war er ungepatcht. Der Maintainer veröffentlichte vor zwei Wochen Version 1.5.9, allerdings ist unklar, ob das Sicherheitsproblem damit behoben wurde. Seit dem 17. Februar versuchte HiddenLayer mehrfach, den Entwickler per E-Mail und über soziale Medien zu erreichen, erhielt jedoch keine Antwort. Auch BleepingComputer fragte beim Chroma-Team nach dem Stand von CVE-2026-45829, bekam bis zur Veröffentlichung aber keine Rückmeldung.
Nach Abfragen über Shodan laufen rund 73 Prozent der im Internet erreichbaren Chroma-Instanzen mit einer angreifbaren Version.
Solange nicht geklärt ist, ob CVE-2026-45829 geschlossen wurde, empfehlen die Forscher betroffenen Nutzern, für ihre Bereitstellungen das Rust-Frontend zu wählen oder den Python-Server nicht öffentlich zugänglich zu machen. Als weitere Gegenmaßnahme lässt sich der Netzwerkzugriff auf den API-Port von ChromaDB einschränken. Zudem raten die Forscher, ML-Modellartefakte vor der Laufzeit zu prüfen, da das Laden öffentlicher Modelle mit der Option „trust_remote_code“ faktisch der Ausführung von nicht vertrauenswürdigem Code gleichkommt.
