Ollama 内存泄漏漏洞(CVE-2026-7482)

Ollama 内存泄漏漏洞(CVE-2026-7482)

  • [1. 漏洞基础信息](#1. 漏洞基础信息)
  • [2. 漏洞影响范围](#2. 漏洞影响范围)
  • [3. 漏洞核心原理](#3. 漏洞核心原理)
  • [4. 漏洞攻击手法](#4. 漏洞攻击手法)
  • [5. 漏洞修复](#5. 漏洞修复)

1. 漏洞基础信息

Ollama 是一个用于本地运行大语言模型的工具,支持通过本地命令行或 HTTP API 调用模型,例如 Llama、Mistral、Qwen、DeepSeek、Gemma 等。由于其部署简单、模型调用方便,常被用于个人开发环境、企业内部 AI 服务、Agent 平台、知识库问答系统和私有化大模型推理服务中

  • 漏洞名称:Ollama 内存泄漏漏洞
  • CVE 编号:CVE-2026-7482
  • 漏洞类型:内存泄漏 / 资源释放不当

2. 漏洞影响范围

漏洞影响的产品为 Ollama,受影响的版本为 Ollama < 0.17.1


3. 漏洞核心原理

GGUF 是大模型常用的一种模型文件格式,用于存储模型权重、张量信息、元数据等内容。Ollama 在创建、导入或加载模型时,需要解析 GGUF 文件中的结构信息

Ollama 在处理用户上传或导入的 GGUF 文件时,对张量偏移量和大小缺少严格边界检查,导致攻击者可以构造异常 GGUF 文件,使服务端在解析模型数据时读取文件边界之外或堆内存边界之外的数据


4. 漏洞攻击手法

通过 poc 进行攻击验证:https://github.com/0x0OZ/CVE-2026-7482-PoC/

1、攻击者生成恶意的、被截断的 GGUF 文件

2、上传恶意 GGUF,调用 /api/create 触发漏洞,再调用 /api/push 外带数据,获取敏感信息


5. 漏洞修复

升级版本: Ollama >= 0.17.1

相关推荐
学逆向的2 小时前
汇编——位运算
开发语言·汇编·算法·网络安全
GEO_youxuan3 小时前
2026年儿童电话手表推荐:定位精度、通话安全与健康监测深度横评
安全
数据知道3 小时前
安全报告怎么写才专业:渗透测试报告模板与踩坑
安全·网络安全·漏洞修复·安全报告·渗透测试报告
doiito4 小时前
【安全,架构】RustyVault 项目深度分析报告以及和HashiCorp Vault的差异
后端·安全·rust
福来阁86号技师5 小时前
2026-now 网络安全笔记
网络安全·ctf·awd
编程(变成)小辣鸡7 小时前
如何防止接口被恶意刷?
java·后端·网络安全
ylscode14 小时前
OpenSSH 10.4 正式发布:后量子加密落地,多项高危漏洞得到修复
网络·安全·网络安全
DianSan_ERP15 小时前
电商架构演进:如何在高并发场景下实现多平台API的标准化履约?
运维·前端·网络·安全·架构·自动化
搭贝16 小时前
低代码平台构建EHS环境健康安全管理系统:从隐患排查到合规审计的全流程实操指南
安全·低代码
doiito20 小时前
【Web安全,微服务安全】HashiCorp Vault 项目深度分析报告
安全·微服务