https://brdefense.center/tags/seguran%C3%A7a-em-python/Recent content in Segurança Em Python on BR Defense CenterHugopt-brTue, 19 May 2026 19:53:10 -0300https://brdefense.center/news/vulnerabilidade-critica-no-chromadb-permite-execuc/Tue, 19 May 2026 19:53:10 -0300https://brdefense.center/news/vulnerabilidade-critica-no-chromadb-permite-execuc/<p>Uma vulnerabilidade de gravidade máxima foi identificada na versão mais recente do FastAPI do projeto ChromaDB, permitindo que atacantes não autenticados executem código arbitrário em servidores expostos. A falha, registrada como CVE-2026-45829, foi reportada em 17 de fevereiro e recebeu a pontuação máxima de severidade pela HiddenLayer, a empresa que a descobriu. O ChromaDB, um banco de dados vetorial de código aberto, é amplamente utilizado em aplicações de inteligência artificial, facilitando a recuperação de documentos relevantes durante a inferência de modelos de linguagem. A vulnerabilidade afeta a lógica do servidor API em Python, colocando em risco o pacote PyPI, que conta com quase 14 milhões de downloads mensais. A falha permite que um endpoint de API marcado como autenticado permita que atacantes embutam configurações de modelo antes da verificação de autenticação, possibilitando a execução de modelos maliciosos. Embora uma nova versão tenha sido lançada, não está claro se a vulnerabilidade foi corrigida. A HiddenLayer tentou contatar os desenvolvedores sem sucesso, e cerca de 73% das instâncias expostas na internet estão rodando uma versão vulnerável. Recomenda-se que os usuários evitem expor o servidor Python publicamente ou optem pela interface em Rust até que a situação seja esclarecida.</p>