| タイトル | TrychromaのChromaDBにおけるユーザ制御の鍵による認証回避に関する脆弱性 |
|---|---|
| 概要 | ChromaDB Pythonプロジェクトのバージョン0.4.17以降において認可検証が欠如しているため、認証された任意のユーザーは所属するテナントに関係なく、任意のテナントのコレクション内のデータを自由に読み取り、書き込み、更新、または削除することが可能です。 |
| 想定される影響 | ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアが完全に停止する可能性があります。 |
| 対策 | ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年6月12日0:00 |
| 登録日 | 2026年6月17日15:37 |
| 最終更新日 | 2026年6月17日15:37 |
| CVSS3.0 : 重要 | |
| スコア | 8.8 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| Trychroma |
| ChromaDB 0.4.17 から 1.5.9 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年06月17日] 掲載 |
2026年6月17日15:37 |
| 概要 | A lack of authorization validation in version 0.4.17 or later of the ChromaDB Python project allows any authenticated users to arbitrarily read, write, update, or delete data in any tenant's collection regardless of which tenant they belong to. |
|---|---|
| 公表日 | 2026年6月13日1:16 |
| 登録日 | 2026年6月13日4:17 |
| 最終更新日 | 2026年6月17日0:07 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:trychroma:chromadb:*:*:*:*:*:python:*:* | 0.4.17 | 1.5.9 | |||