技术说明
ChromaDB的Python FastAPI服务器在执行认证检查之前初始化嵌入函数配置——包括从HuggingFace加载模型。未经认证的攻击者向/api/v2/tenants/{tenant}/databases/{db}/collections发送一个精心制作的POST请求,指向攻击者控制的HuggingFace仓库,并设置trust_remote_code: true。服务器在认证检查运行之前下载并执行恶意Python模块;攻击者的代码执行后,服务器返回403 Forbidden,这意味着基于标准日志的检测只会显示一个"被阻止"的请求,而载荷已经运行。CWE-94(代码注入)。CVSS 4.0评分:10.0。
攻击途径
向collections端点发送未经认证的HTTP POST请求,包含带有攻击者控制的HuggingFace模型名称和在嵌入函数配置中设置trust_remote_code: true的集合创建请求。无需凭据。单个请求即可在服务器进程上实现代码执行。
受影响系统
ChromaDB Python FastAPI服务器,版本1.0.0至1.5.8(当前版本)。根据HiddenLayer的Shodan扫描,约73%的互联网可访问的ChromaDB部署存在漏洞。Rust前端(chroma run,自v1.0.0以来的Docker Hub镜像)不受影响。ChromaDB每月pip下载量约1300万次,被Mintlify、Factory AI和Weights & Biases用于RAG管道中。
缓解措施
截至ChromaDB 1.5.8/1.5.9版本尚无补丁可用。立即限制对ChromaDB Python FastAPI服务器端口的网络访问,仅允许受信任的客户端访问——不得直接暴露于互联网。如果在操作上可行,切换到基于Rust的部署路径(chroma run或Docker Hub镜像)。为了检测,请监控chromadb进程到huggingface.co或其他模型注册表的出站连接、chromadb服务账户的异常进程生成,以及数据库进程创建的新文件。完整的代码修复需要在配置加载之前移动认证,并在V1和V2 create_collection处理程序中从请求中去除'kwargs'键。