Uma vulnerabilidade de gravidade máxima foi identificada na versão mais recente do FastAPI do projeto ChromaDB, permitindo que atacantes não autenticados executem código arbitrário em servidores expostos. A falha, registrada como CVE-2026-45829, foi reportada em 17 de fevereiro e recebeu a pontuação máxima de severidade pela HiddenLayer, a empresa que a descobriu. O ChromaDB, um banco de dados vetorial de código aberto, é amplamente utilizado em aplicações de inteligência artificial, facilitando a recuperação de documentos relevantes durante a inferência de modelos de linguagem. A vulnerabilidade afeta a lógica do servidor API em Python, colocando em risco o pacote PyPI, que conta com quase 14 milhões de downloads mensais. A falha permite que um endpoint de API marcado como autenticado permita que atacantes embutam configurações de modelo antes da verificação de autenticação, possibilitando a execução de modelos maliciosos. Embora uma nova versão tenha sido lançada, não está claro se a vulnerabilidade foi corrigida. A HiddenLayer tentou contatar os desenvolvedores sem sucesso, e cerca de 73% das instâncias expostas na internet estão rodando uma versão vulnerável. Recomenda-se que os usuários evitem expor o servidor Python publicamente ou optem pela interface em Rust até que a situação seja esclarecida.
Fonte: https://www.bleepingcomputer.com/news/security/max-severity-flaw-in-chromadb-for-ai-apps-allows-server-hijacking/
🚨BR DEFENSE CENTER: SECURITY BRIEFING
19/05/2026 • Risco: CRITICO
VULNERABILIDADE
Vulnerabilidade crítica no ChromaDB permite execução de código remoto
RESUMO EXECUTIVO
A CVE-2026-45829 representa uma ameaça significativa para organizações que utilizam ChromaDB, especialmente aquelas que expõem seus servidores publicamente. A falha permite que atacantes executem código malicioso, o que pode resultar em compromissos de segurança e impactos financeiros substanciais.
💼 IMPACTO DE NEGÓCIO
Financeiro
Potenciais custos associados a incidentes de segurança e recuperação de sistemas.
Operacional
Execução de código malicioso em servidores expostos.
Setores vulneráveis
['Tecnologia da Informação', 'Inteligência Artificial', 'Desenvolvimento de Software']
📊 INDICADORES CHAVE
Cerca de 73% das instâncias expostas estão rodando uma versão vulnerável do ChromaDB.
Indicador
O pacote PyPI tem quase 14 milhões de downloads mensais.
Contexto BR
A vulnerabilidade foi introduzida na versão 1.0.0 e não foi corrigida até a versão 1.5.8.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se o ChromaDB está em uso e qual versão está instalada.
2
Evitar a exposição pública do servidor Python ou optar pela interface em Rust.
3
Monitorar continuamente acessos ao servidor e tentativas de exploração da vulnerabilidade.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a possibilidade de execução de código remoto em servidores expostos, o que pode levar a compromissos de dados e sistemas.
⚖️ COMPLIANCE
Implicações legais relacionadas à segurança de dados sob a LGPD.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
