文章总结： 知名本地大模型运行框架Ollama近日披露一个严重安全漏洞CVE-2026-7482（CVSS9.1），攻击者通过上传恶意构造的GGUF模型文件即可远程读取服务器进程内存，窃取环境变量、API密钥及用户对话数据。同时Windows客户端存在路径遍历和更新签名缺失漏洞，可被持久植入后门。建议用户立即升级至0.17.1以上版本、配置身份认证、限制网络暴露，并关闭Windows客户端自动更新。 综合评分： 94 文章分类： 漏洞预警,应用安全,数据安全,终端安全,恶意软件

Ollama惊曝高危漏洞：远程即可窃取全部进程内存，Windows版后门风险更高

看雪学苑 看雪学苑

看雪学苑

2026年5月11日 17:59 上海

在小说阅读器读本章

去阅读

知名本地大模型运行框架 Ollama 近日被披露一个严重安全漏洞，攻击者只需上传一个精心构造的模型文件，就能远程读取服务器进程内存中的敏感信息，包括环境变量、API 密钥以及同一进程内其他用户的对话数据。该漏洞在 CVSS 3.1 中评分高达 9.1，影响全球超过 30 万个暴露在公网的实例。

一个恶意 GGUF 文件就能打开内存之窗

漏洞编号 CVE-2026-7482，被 Cyera 研究团队命名为“Bleeding Llama”。它属于典型的堆越界读取（CWE-125），问题出在 Ollama 加载 GGUF 格式模型并执行量化操作的过程中。GGUF 是当前本地运行大模型的主流文件格式，它的元数据会声明模型中各张量的偏移量和大小。

当攻击者通过 /api/create 接口提交一个“说谎”的 GGUF 文件——声明的张量区域远大于文件实际长度——由于底层代码在处理时未做充分的边界校验，程序就会越过分配好的堆缓冲区继续读取，从而把紧邻内存中的其他数据一同“看”了进去。

这些额外读到的内容，可能恰好包含 Ollama 进程运行时留在堆中的环境变量、API 密钥、系统提示词，甚至是同一服务器上其他用户正在进行的大模型会话记录。一旦数据被读入模型构建后的产物中，攻击者再通过 /api/push 接口把带毒模型制品推送到自己控制的注册表，就能完成一次静默的数据窃取。

默认监听配置决定生死

漏洞的利用门槛极低。Ollama 的 REST API 默认不提供任何身份认证，而 /api/create 与 /api/push 正是其中两个直接被用来完成攻击链的关键端点。如果 Ollama 保持默认的 127.0.0.1（仅本机）监听，远程攻击便无从下手。但许多用户为了方便远程调用，将服务绑定到 0.0.0.0，并配合公网 IP 直接暴露，此时攻击者仅需一条 HTTP POST 请求即可投递恶意文件，随后的越界读和数据外传都在正常 API 调用层面完成，隐蔽性极高。

更危险的“后门”：Windows 客户端可被持久植入

几乎是同一时间，安全公司 Striga 公布了另一组针对 Ollama Windows 桌面客户端的漏洞，目前尚未修补。这组漏洞由路径遍历（CVE-2026-42249）和更新签名校验缺失（CVE-2026-42248）串联而成，影响从 0.12.10 到 0.22.0 的几乎所有 Windows 版本。

Ollama Windows 客户端在用户登录时自动从启动文件夹启动，默认勾选自动更新，并在本地 127.0.0.1:11434 监听。更新过程会周期性询问更新服务器，却不会验证下载的更新二进制文件是否带有合法签名（macOS 版却有签名校验）。同时，更新器在创建本地暂存目录时，直接使用 HTTP 响应头中的路径字段，未做任何清理，导致目录可以被“..”等字符重定向到任意位置。

将这两点与自动启停机制结合，中间人攻击者或控制了更新服务器的攻击者就能在用户登录时将一个恶意可执行文件直接写入系统的“启动”文件夹。下次启动时，Windows 便会默默执行该文件，实现持久化代码执行。即便官方推送了合法更新，覆盖了被篡改的文件，路径遍历漏洞仍能让攻击者将恶意代码写在非标准目录，从而逃过清理。

该做什么？

对于 CVE-2026-7482，所有 Ollama 用户都应立即升级到 0.17.1 及以上版本。同时，必须收紧网络暴露面：务必为 Ollama 实例部署反向代理并启用强身份认证，禁止 API 端口直接暴露在公网；云环境中通过安全组或防火墙严格限制来源 IP。若曾将 Ollama 暴露在不受信任的网络中运行，应尽快轮换使用过的 API 密钥、访问凭据，并评估潜在的数据泄露范围。

对于 Windows 客户端漏洞，鉴于官方补丁尚未发布，最直接的缓解措施是关闭自动更新，并手动删除位于%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup 中的 Ollama 快捷方式，阻断其登录后静默自启的路径。

资讯来源：The Hacker News、Cyera、Striga、CERT Polska 等

球分享

球点赞

球在看

点击阅读原文查看更多

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：看雪学苑 《Ollama惊曝高危漏洞：远程即可窃取全部进程内存，Windows版后门风险更高》