ChromaDB
開源向量資料庫,廣泛用於 RAG(Retrieval-Augmented Generation)與 AI Agent 開發場景。2026年5月 HiddenLayer 揭露 Python FastAPI 後端存在 Pre-auth RCE 重大漏洞(CVE-2026-45829)。
技術特性
- 提供 Python FastAPI 伺服器與 Rust 伺服器兩種實作
- 支援
trust_remote_code=true載入外部模型 - 廣泛整合 Hugging Face 模型生態系
資安事件
- CVE-2026-45829(2026-05-18 揭露):Python FastAPI 後端模型載入順序錯誤,攻擊者可在身分驗證前執行任意程式碼
- 受影響版本:1.0.0 ~ 1.5.8
- 緩解:改用 Rust 伺服器或限制連接埠
相關概念
相關文章
- ithome-2026-05-25-chromadb-rce-cve-2026-45829-176107 — iThome 2026-05-25 報導