기술 설명
ChromaDB의 Python FastAPI 서버는 인증 확인을 수행하기 전에 HuggingFace에서의 모델 로딩을 포함한 임베딩 함수 구성을 초기화합니다. 인증되지 않은 공격자는 trust_remote_code: true를 사용하여 공격자 제어 HuggingFace 저장소를 가리키는 /api/v2/tenants/{tenant}/databases/{db}/collections에 단일 제작된 POST 요청을 보냅니다. 서버는 인증 확인이 실행되기 전에 악성 Python 모듈을 다운로드하고 실행합니다. 공격자의 코드가 실행되고 서버는 403 Forbidden을 반환하므로, 표준 로그 기반 탐지는 '차단된' 요청만 표시하는 반면 페이로드는 이미 실행되었습니다. CWE-94 (Code Injection). CVSS 4.0 점수: 10.0.
공격 경로
공격자 제어 HuggingFace 모델 이름과 임베딩 함수 구성에서 trust_remote_code: true를 포함하는 컬렉션 생성 요청이 포함된 컬렉션 엔드포인트에 대한 인증되지 않은 HTTP POST입니다. 자격증명이 필요하지 않습니다. 단일 요청으로 서버 프로세스에서 코드 실행을 달성합니다.
영향받는 시스템
ChromaDB Python FastAPI 서버, 버전 1.0.0에서 1.5.8(현재)까지입니다. HiddenLayer의 Shodan 스캔에 따르면 인터넷에 접근 가능한 ChromaDB 배포의 약 73%가 취약합니다. Rust 프론트엔드(chroma run, v1.0.0 이후 Docker Hub 이미지)는 영향을 받지 않습니다. ChromaDB는 월간 약 1300만 pip 다운로드를 기록하며 Mintlify, Factory AI, Weights & Biases의 RAG 파이프라인에서 사용됩니다.
완화 방안
ChromaDB 1.5.8/1.5.9 기준으로 사용 가능한 패치가 없습니다. ChromaDB Python FastAPI 서버 포트에 대한 네트워크 접근을 신뢰할 수 있는 클라이언트로만 제한하십시오 — 인터넷에 직접 노출되지 않아야 합니다. 운영상 가능하면 Rust 기반 배포 경로(chroma run 또는 Docker Hub 이미지)로 전환하십시오. 탐지를 위해, ChromaDB 프로세스에서 huggingface.co 또는 기타 모델 레지스트리로의 아웃바운드 연결, chromadb 서비스 계정에서의 예상치 못한 프로세스 생성, 데이터베이스 프로세스에 의한 새 파일 생성을 모니터링하십시오. 전체 코드 수정은 구성 로딩 전에 인증을 이동하고 V1 및 V2 create_collection 핸들러 모두의 요청에서 'kwargs' 키를 제거해야 합니다.