Детали критической уязвимости под идентификатором CVE-2026-7482 первыми описали специалисты Cyera. Проблема получила оценку 9,1 балла по шкале CVSS и название Bleeding Llama. По оценке авторов отчёта, под ударом могут находиться более 300 тысяч серверов по всему миру, передаёт Securitylab. Ошибка связана с загрузчиком моделей в формате GGUF. В уязвимых версиях до 0.17.1 сервер мог читать данные за пределами выделенной области памяти при обработке специально подготовленного файла. Атакующему не нужна учётная запись, если Ollama доступен из сети. Достаточно отправить вредоносный GGUF-файл через API и запустить создание модели через /api/create. Схожий механизм чтения за пределами допустимой области памяти в 2025 году позволял получать конфиденциальные данные и из дампов Linux-процессов. При успешной атаке из памяти процесса могут утечь переменные окружения, API-ключи, системные промпты, фрагменты разговоров других пользователей и другие чувствительные данные. Затем похищенную информацию можно вывести через /api/push, загрузив созданный артефакт модели в контролируемый злоумышленником реестр. Представитель Cyera Дор Аттиас предупредил, что риск растёт, когда инженеры подключают Ollama к инструментам вроде Claude Code. В таком сценарии через сервер проходят результаты работы связанных инструментов, включая потенциально закрытый код, внутренние документы и служебные данные. Пользователям рекомендуют обновить Ollama, закрыть публичный доступ к инстансам, проверить серверы на доступность из интернета, вынести сервис за файрвол и поставить перед API прокси с аутентификацией, поскольку REST API Ollama по умолчанию не требует входа. Параллельно команда Striga описала две нерешённые проблемы в механизме обновления Ollama для Windows. CVE-2026-42248 связана с отсутствием проверки подписи обновления, а CVE-2026-42249 — с обходом пути при обработке HTTP-заголовков. В связке ошибки позволяют записать исполняемый файл в папку автозагрузки Windows и запускать его при каждом входе пользователя. Аналогичная по классу уязвимость нулевого дня, позволявшая удалённо считывать содержимое памяти устройства, была зафиксирована в 2025 году в продуктах Citrix. Сооснователь Striga Бартломей Дмитрук сообщил, что уязвимыми остаются версии Ollama для Windows с 0.12.10 по 0.22.0. До выхода исправления пользователям советуют отключить автоматические обновления и удалить ярлык Ollama из папки Startup, чтобы остановить скрытый запуск при входе в систему.
В инструменте Ollama обнаружены две неисправленные уязвимости
Данные о правообладателе фото и видеоматериалов взяты с сайта «Information Security», подробнее в Условиях использования
Анализ
×