기술 설명
ChromaDB의 Python FastAPI 서버는 인증 확인을 수행하기 전에 HuggingFace에서의 모델 로딩을 포함한 임베딩 함수 구성을 초기화합니다. 인증되지 않은 공격자가 /api/v2/tenants/{tenant}/databases/{db}/collections로 향하는 단일 조작된 POST 요청을 보내며, trust_remote_code: true가 설정된 공격자 제어 HuggingFace 리포지토리를 가리킵니다. 서버는 인증 확인이 실행되기 전에 악성 Python 모듈을 다운로드하고 실행하며, 공격자의 코드가 실행되고 서버는 이후 403 Forbidden을 반환합니다. 즉, 표준 로그 기반 탐지는 '차단된' 요청만 표시하지만 페이로드는 이미 실행된 상태입니다. CWE-94 (Code Injection). CVSS 4.0 점수: 10.0.
공격 경로
collections 엔드포인트로의 인증되지 않은 HTTP POST, 공격자 제어 HuggingFace 모델 이름과 임베딩 함수 구성에서 trust_remote_code: true가 포함된 컬렉션 생성 요청. 자격 증명 불필요. 단일 요청으로 서버 프로세스에서 코드 실행을 달성합니다.
영향받는 시스템
ChromaDB Python FastAPI 서버, 버전 1.0.0부터 1.5.8(현재). HiddenLayer의 Shodan 스캔에 따르면 인터넷 접근 가능한 ChromaDB 배포의 약 73%가 취약합니다. Rust 프론트엔드(chroma run, v1.0.0 이후 Docker Hub 이미지)는 영향을 받지 않습니다. ChromaDB는 월간 약 1,300만 pip 다운로드 수를 기록하며 Mintlify, Factory AI, Weights & Biases의 RAG 파이프라인에서 사용됩니다.
완화 방안
ChromaDB 1.5.8/1.5.9 현재 패치 없음. ChromaDB Python FastAPI 서버 포트에 대한 네트워크 접근을 신뢰할 수 있는 클라이언트로만 즉시 제한하십시오 — 직접 인터넷 노출 금지. 운영적으로 가능하면 Rust 기반 배포 경로(chroma run 또는 Docker Hub 이미지)로 전환하십시오. 탐지를 위해 ChromaDB 프로세스에서 huggingface.co 또는 기타 모델 레지스트리로의 아웃바운드 연결, chromadb 서비스 계정에서의 예상치 못한 프로세스 생성, 데이터베이스 프로세스의 새 파일 생성을 모니터링하십시오. 완전한 코드 수정은 구성 로딩 전에 인증을 이동하고 V1 및 V2 create_collection 핸들러 모두의 요청에서 'kwargs' 키를 제거해야 합니다.