CVE-2026-45833 ChromaDBのコードインジェクション脆弱性解説とAI Security対策手順まとめ

結論

• 危険度: 情報なし
• 対象: (詳細はベンダーアドバイザリ参照)
• 修正: ベンダーアドバイザリ参照
• KEV: No (NVD Critical由来。CISA KEVには未登録)

タイトルの緊急度プレフィックス（【至急】【最重大】等）の意味

表記	条件	意味	対応目安
【至急/ランサム悪用】	CISA KEV登録 + ランサムウェア悪用観測	ランサムグループが現在進行形で悪用	本日中に対応開始
【至急/重大】	CISA KEV登録 + CVSS 9.0以上	実世界で攻撃観測あり + スコア極めて高い	本日中に対応開始
【重大/KEV登録】	CISA KEV登録(CVSS低またはNVD未反映)	実世界で攻撃観測あり	数日以内
【最重大】	CVSS 9.5以上(KEV未登録)	理論上の危険度ほぼ満点、攻撃観測はまだない	1週間以内に対応計画
【重大】	CVSS 9.0〜9.4(KEV未登録)	Critical帯の理論的高リスク	1〜2週間以内
【高】	CVSS 7.0〜8.9(KEV未登録)	High帯のリスク	計画的に対応
(プレフィックスなし)	CVSS 7.0未満	Medium以下のリスク	通常メンテで対応

「至急」と「最重大」の違い: 「至急」は CISA(米国政府機関)が 実際に悪用を観測した CVEに付与されます。「最重大」は CVSSスコア上は最高峰だが、まだ悪用観測がない ものです。同じCVSS 9.8でもKEV登録の有無で扱いが変わります。

最終更新: 2026-06-12 ｜ 本記事は公式情報をもとに作成しています。最新情報はベンダー公式アドバイザリを必ずご確認ください。

STEP	やること	かかる目安
STEP 1	何が起きているか理解する	3分
STEP 2	急ぎ対応すべきか判断する	3分
STEP 3	自分の環境が対象か確認する	5分
STEP 4	修正を適用する	環境による
STEP 5	修正されたことを確認する	3分

STEP 1: 何が起きているか

一言でいうと

CVE-2026-45833はChromaDB Pythonプロジェクト（バージョン0.4.17以降）に存在する脆弱性です。認証済みの攻撃者が、不正なモデルリポジトリを送信し特定APIのtrust_remote_codeオプションを有効にすると、サーバー上で任意のコードを実行できます。LLMゲートウェイやAI Agentを運用する管理者にとって最優先で警戒すべき問題です。

やさしく説明すると

この脆弱性は「了承した相手から送られたプログラムを、そのまま動かしてしまう」という問題です。玄関の鍵はかかっているものの、合鍵を持つ人が悪用して不正プログラムを勝手に実行できてしまいます。AIシステムでは信頼しないモデルコードを使うときに危険が顕在化します。開発運用者はこの危険を理解し、設定や権限を見直すことが必要です。

技術的な原因

この脆弱性はCWE-94「コードインジェクション（Code Injection）」に分類されます。コードインジェクションとは、攻撃者が悪意のあるプログラムコードをアプリケーションに注入し、実行させる攻撃です。ここではChromaDBライブラリのAPIにて、trust_remote_code=trueの状態で悪意あるリモートモデルを受け入れる処理に問題がありました。正当な権限（UPDATE_COLLECTION権限）がある認証済みユーザーが悪意あるリポジトリを使うと、サーバーで任意コードが走る恐れがあります。

影響を受けると何が困るか

• 管理APIを使う攻撃者がサーバー上で任意のコードを実行し、システムを乗っ取る
• OpenAIやAnthropicなどのAPIキーや認証情報が漏洩するリスク
• LLMコンテキストや顧客データが盗まれる可能性
• AI GatewayやAgentフレームワークの乗っ取りや悪用
• AIコーディングツール（Cursor、Cline、Copilot等）の不正操作や情報漏洩
• 請求コストの異常高騰やインフラへの横展開攻撃リスク

もっと詳しく調べたい人へ — 公式情報源マップ

本記事は以下の公式・準公式の情報源から内容を集約しています。一次情報を確認したい場合や英語で詳細を読みたい場合は、各リンクから直接アクセスできます。

カテゴリ	情報源	言語	何が分かるか	リンク
総合	NVD（米国 NIST）	英	米国政府の脆弱性データベース。CVSSスコア、影響を受けるCPE、参考リンクの総合ハブ。最も網羅的。	開く
総合	MITRE CVE	英	CVE採番機関の公式記録。CVE記述の「正本」。NVDより記載が簡潔だが一次情報。	開く
総合	JVN iPedia（JPCERT/CC・IPA）	日	日本のCSIRTが運用する脆弱性対策情報データベース。日本語で概要・対策が読める。掲載がない場合あり。	開く
総合	CISA KEV（悪用観測カタログ）	英	米国CISAが実際に悪用を確認している脆弱性のカタログ。掲載されていれば最優先で対応。	開く
総合	GitHub Advisory Database	英	OSSパッケージ（npm/pypi/maven/composer/go等）別の脆弱性アドバイザリ。修正PRへのリンクが豊富。	開く
総合	OpenCVE	英	複数CVEデータベースの集約検索サービス。タイムラインや関連CVEの俯瞰に有用。	開く
Linux	Red Hat CVE	英	Red Hat製品（RHEL/CentOS Stream/Rocky/AlmaLinux系）の影響評価とパッチ状況。	開く
Linux	Ubuntu Security	英	Ubuntu の影響評価。各Ubuntuバージョン（22.04/24.04等）でのパッチ提供状況が一目で分かる。	開く
Linux	Debian Security Tracker	英	Debian の影響評価。stable/testing/sid別のパッチ状況。Debian派生ディスト利用者向け。	開く
Linux	SUSE CVE	英	SUSE Linux Enterprise / openSUSE の影響評価とパッチ状況。	開く
悪用	Exploit Database	英	公開エクスプロイトのアーカイブ。検出ツールやペネトレーションテストでの参照用。	開く
悪用	Packet Storm Security	英	セキュリティアドバイザリ・エクスプロイトの集約サイト。古めの情報も含む。	開く
悪用	GitHub PoC 検索	英	GitHubコード検索でCVE IDを直接検索。野良PoCの早期発見に。	開く
悪用	X（Twitter）検索	日英	直近の議論やニュースを観測。In-the-wild悪用の早期検知に有用。	開く
スキャナ	Snyk Vulnerability DB	英	パッケージ別の脆弱性詳細と修正バージョン。OSS依存ライブラリ追跡に有用。	開く
スキャナ	Tenable（Nessus）	英	Nessusスキャナでの検出プラグイン情報。検出ロジックの参考に。	開く
スキャナ	Rapid7（Metasploit/Nexpose）	英	Metasploit悪用モジュール、Nexposeでの検出情報。	開く

掲載しているのは無料でアクセスできる情報源のみです。CVEによっては掲載がないサイトもあります（特にJVN iPediaは日本国内で報告された脆弱性のみ掲載）。

STEP 2: 急ぎ対応すべきか判断する

結論: 低

判断根拠

• CVSSスコアは未公表。深刻度は不明だがコードインジェクションの可能性あり
• EPSS（悪用予測スコア）は提供されていません
• ランサムウェアによる悪用観測は不明（Unknown）
• 公開PoCやExploitは確認されていません
• 悪用には認証済みかつ更新権限（UPDATE_COLLECTION）が必要。加えてtrust_remote_code=trueの設定が必要

誰が動くべきか

• ChromaDBを利用しLLMゲートウェイやAgentを本番運用しているSRE/SecOpsチーム
• Agenticフレームワーク開発者でモデル管理APIを操作する開発者
• AI駆動開発を行い、CursorやClineなどのAIコーディングツールを利用しているバイブコーダー

STEP 3: 自分の環境が対象か確認する

影響を受けるバージョン

製品	脆弱なバージョン範囲	修正版
ChromaDB Python プロジェクト	0.4.17 以降 (具体的上限未公表)	ベンダーアドバイザリ参照

バージョン確認コマンド

Python環境（pip）

pip show chromadb

出力例:

Name: chromadb
Version: 0.4.18
Summary: ChromaDB Python library

判定: バージョンが 0.4.17 以降なら脆弱の可能性あり。修正版が提供されるまで注意。

Python環境（pip list）

pip list | grep chromadb

出力例:

chromadb               0.4.16

判定: 0.4.17未満なら現時点で脆弱ではないと判断可能。

設定確認

本脆弱性はAPI経由でtrust_remote_code=trueを設定した場合に悪用されます。設定依存のため、該当設定があるか必ず確認してください。設定を無効にすればリスク低減になります。具体的な設定ファイルやAPIパラメータは環境により異なるため、ベンダー公式ドキュメントを参照してください。

Nucleiテンプレートでの検出

本脆弱性には公開Nucleiテンプレートは提供されていません。バージョン確認と設定確認による非破壊検出が推奨されます。

STEP 4: 修正を適用する

パッチ適用

現時点でChromaDBの公式修正版バージョンは未公表です。ベンダーから修正版が提供され次第、以下のようにアップグレードしてください。

Python環境（pip）

pip install --upgrade chromadb

判定: バージョンが 0.4.17未満の安定版に上がることを確認する

注意: 公式パッチ公開前は本番環境での設定監査（trust_remote_codeの無効化）を検討してください。バックアップ取得とステージング環境での動作検証が必須です。

パッチ即時適用ができない場合の暫定対応

本CVEに関し、公式の暫定対応はまだ提示されていません。ただしtrust_remote_code設定をfalseに変更し、悪意あるリモートコードの実行を抑止することが実務的に暫定対応となります。API権限も見直してください。

STEP 5: 修正されたことを確認する

STEP 3で実行したバージョン確認コマンドを、修正後に再度実行してください。

期待される出力

Python環境（pip）

pip show chromadb

出力例:

Name: chromadb
Version: 0.4.16
Summary: ChromaDB Python library

判定: バージョンが 0.4.17未満なら安全です。修正版リリース後は該当以上の修正版であれば問題ありません。

追加で確認すべきこと

• 設定ファイルやAPIにてtrust_remote_codeがfalseになっているか
• ログに不審なAPIコールや攻撃痕跡がないか監視する
• 使用しているAI GatewayやAgentフレームワークの連携部分も念入りに確認する

補足: 悪用観測状況

本CVEに関し、現時点で公的なランサムウェアによる悪用観測は報告されていません。GitHub等に公開PoCやエクスプロイトも確認されていません。認証済みユーザーかつ特定設定が必要なため、現場での悪用は限定的と判断できます。とはいえ今後の動向には警戒が必要です。

補足: CVSSメトリクス詳細

• AV（Attack Vector：攻撃ベクター） – 攻撃がどこから仕掛けられるか
• AC（Attack Complexity：攻撃の難易度） – 攻撃成功の条件の複雑さ
• PR（Privileges Required：必要な権限） – 攻撃に必要な権限レベル
• UI（User Interaction：ユーザ操作の有無） – 攻撃成功にユーザ操作が必要か
• S（Scope：影響範囲） – 攻撃が及ぼす範囲の変化
• C（Confidentiality：機密性の影響） – 情報漏洩の程度
• I（Integrity：完全性の影響） – データ改ざんの程度
• A（Availability：可用性の影響） – サービス停止の影響度

よくある質問（FAQ）

Q. このCVEに対応するために最低限すべきことは何ですか？

A. まずSTEP 3で自分の環境の対象バージョンか確認します。対象ならSTEP 4で修正パッチを適用か、現状設定のtrust_remote_codeを無効化してください。その後STEP 5で変更を確認することが重要です。

Q. パッチが適用できない場合、どうすればよいですか？

A. trust_remote_codeの設定をfalseに変更し、不正リモートコードの実行を防御してください。またAPI権限の見直しも有効です。パッチリリースを待つ間の暫定対応となります。

Q. 既に攻撃を受けているか確認する方法はありますか？

A. ネットワーク・APIアクセスのログを監視し、不審な権限昇格やコード導入がないか確認してください。公式にIOCなどは未公開ですが、不正アクセス分析が必須です。

Q. なぜEPSSスコアが重要なのですか？

A. CVSSはリスクの深刻度を表す指標です。一方EPSS（Exploit Prediction Scoring System）は、実際に悪用が起きる確率を示します。両方を見て優先対応を決めるのが実務的に有効です。

Q. このCVEと類似の脆弱性は他にもありますか？

A. CWE-94「コードインジェクション」に分類される類似脆弱性は多数存在します。同様に悪意あるコード実行経路を保護する必要があり、特にtrust_remote_codeの設定を伴うAIツールやエージェントに注意してください。

参考文献

• NVD CVE-2026-45833
• HiddenLayer Security Advisory
• JVN iPedia検索結果
• CISA KEV Catalog

関連トピック・タグから探す

本記事に関連するキーワードから、他のAIセキュリティ記事を探せます。

• コードインジェクション に関するCVE・脆弱性記事一覧
• Vector DB に関するCVE・脆弱性記事一覧
• Python に関するCVE・脆弱性記事一覧

2026-06-13 追記

本記事の公開後、以下の重要な変化が確認されました（公開からの経過: 0日）。

項目	公開時点	2026-06-13時点	変化の意味
新規GHSAアドバイザリ	0件	1件	新たなGitHub Security Advisoryが発行
タイトルプレフィックス未付与	(プレフィックスなし)	【重大】	公開時はタイトルに危険度プレフィックスが付いていない。最新状況では付与が妥当（記事生成時の凡ミス補正）

新規GHSAアドバイザリ

公開時点ではGitHub Security Advisory（GHSA）は存在しませんでしたが、現在は新たに1件のGHSAアドバイザリが発行されています。GitHub上で管理される公式アドバイザリは、国内外の開発者コミュニティやインフラ運用担当者にとって、脆弱性への対応方針や影響範囲の判断材料となるため、非常に重要です。

GHSA登場により、今後はGitHub経由で関連パッケージや依存関係が可視化されやすくなります。運用面では、GHSAで示される修正情報やアラートを積極的にフォローし、対象パッケージを利用中の場合は速やかに最新版適用や代替策の検討を推奨します。

タイトルプレフィックス未付与

記事公開時にはタイトルに危険度プレフィックスがありませんでしたが、最新状況では「【重大】」というプレフィックスが付与されるべき状態となっています。これは、CVSSスコア9.4というCritical帯の理論的高リスクに基づく表記であり、公開時に反映されなかった凡ミスを補正したものです。

この表記変更により、読者や運用担当者が本脆弱性の深刻度を一目で読み取れるようになりました。特に初動対応やリスク管理の観点から、タイトルの段階で優先順位を即断しやすくなるため、対応判断の迅速化に繋がります。運用者は「【重大】」ラベルの付いた記事について、1〜2週間以内を目安とした優先的なリスク低減対応を推奨します。