文章总结： 文档披露Ollama开源大模型框架存在严重漏洞CVE-2026-7482（堆越界读取），导致未认证攻击者可泄露进程内存中的API密钥、对话数据等敏感信息，影响超30万台暴露服务器。同时Windows客户端更新机制存在两个未修补漏洞（CVE-2026-42248/42249），可串联实现持久化任意代码执行。建议立即升级至0.17.1+版本、限制网络暴露、关闭自动更新并删除启动项。 综合评分： 82 文章分类： 漏洞分析,漏洞预警,解决方案,应急响应,数据安全

Ollama越界读取事件：允许远程进程内存泄露配合win系统组合拳

原创

404号浪漫 404号浪漫

404号浪漫

2026年5月10日 21:21 北京

在小说阅读器读本章

去阅读

0x01 核心速览

| | | | — | — | | 【事件】 | 【影响】 | | Ollama 开源大模型 运行框架被披露存在一个严重漏洞CVE-2026-7482（代号 Bleeding Llama），可导致未认证的远程攻击者泄露整个进程内存；同时，其 Windows 客户端更新机制也被发现两个未修补漏洞（CVE-2026-42248、CVE-2026-42249），可串联实现持久化任意代码执行。 | CVE-2026-7482 影响全球超过 30 万台暴露在互联网的服务器，可能导致 API 密钥、对话数据等敏感信息泄露；Windows 更新漏洞影响 0.12.10 至 0.22.0 版本，允许攻击者在用户登录时静默执行任意代码 |

0x02 正文解读

2.0-事件发现与确认

CVE-2026-7482：Bleeding Llama 堆越界读取漏洞

Ollama 在 0.17.1 之前的版本中，其中 GGUF  模型加载器存在堆越界读取漏洞。根源在于 fs/ggml/gguf.go 与 server/quantization.go 的 WriteTo() 函数使用了 Go 语言的 unsafe 包，绕过了内存安全保证。攻击者可通过向暴露的服务器提交特制 GGUF 文件，将张量的形状声明为极大值，使得在通过 /api/create 端点执行量化期间，服务器读取超出已分配堆缓冲区的内存。

2.1-利用链与数据外泄 完整的利用过程分三步：

1. 通过 HTTP POST 将构造的 GGUF 文件上传到可网络访问的Ollama 服务器；
2. 调用 /api/create 端点触发越界读取，将进程内存中的数据写入模型 产物；
3. 使用 /api/push 端点将含有敏感数据的模型产物推送到攻击者控制的注册表，实现数据外泄。

被泄露的数据可能包括环境变量、API 密钥、系统提示以及并发用户的对话内容。尤其当工程师将 Ollama 与 Claude Code 等工具连接时，所有工具输出都可能落入攻击者之手。

2.2-两个未修补的 Windows 更新漏洞

Striga 研究人员发现，Ollama Windows 桌面客户端存在两个未修复漏洞，影响版本 0.12.10 至 0.17.5（另一处描述为至 0.22.0），披露至今已逾 90 天仍未修补。

• CVE-2026-42248（CVSS 7.7）：签名验证缺失漏洞。Windows 更新程序在安装更新前未验证二进制文件的签名，与 macOS 版本行为不一致。
• CVE-2026-42249（CVSS 7.7）：路径遍历漏洞。更新程序直接从 HTTP 响应头构造安装程序暂存目录的本地路径，未进行任何清理。

攻击者若能够篡改 Ollama 客户端的更新响应（如覆盖 OLLAMA_UPDATE_URL 环境变量指向恶意 HTTP 服务器，且 AutoUpdateEnabled 为默认启用的状态），即可利用签名验证缺失下发恶意程序。单独利用此缺陷可获得一次非持久化的代码执行；

结合路径遍历漏洞，则可将恶意可执行文件写入 Windows 启动文件夹（%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup），在每次用户登录时实现静默、持久的任意代码执行。

2.3-缓解与应对

对于 CVE-2026-7482，用户应升级至修复版本，并通过防火墙隔离、审计暴露面、在 Ollama 实例前部署认证代理或 API 网关等方式限制网络访问。对于 Windows 更新漏洞，因暂无官方补丁，建议立即关闭自动更新，并移除启动文件夹中的 Ollama 快捷方式，以阻断静默登录执行路径。

0x03 动作指引

• 升级版本：将 Ollama 升级至 0.17.1 或更高版本，以修复 CVE-2026-7482。

• 网络加固：限制对 Ollama 服务器的网络暴露，部署认证代理或 API 网关，因为 REST API 默认不提供身份验证。

• Windows 客户端应急措施：

• 关闭自动更新，或将 AutoUpdateEnabled 设为 false。

• 删除启动文件夹中的 Ollama 快捷方式：%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup 下的相关条目。

• 注意：移除恶意投递的文件可以终止持久化，但底层漏洞仍然存在，需持续关注后续补丁。

0x04 参考链接

1.https://thehackernews.com/2026/05/ollama-out-of-bounds-read-vulnerability.html

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：404号浪漫 404号浪漫 404号浪漫《Ollama越界读取事件：允许远程进程内存泄露配合win系统组合拳》