Ollama内存泄漏已复现：CVE-2026-7482高危

🚨 Ollama 内存泄漏漏洞已复现：CVE-2026-7482 高危风险

安全研究人员已复现Ollama 内存泄漏漏洞（CVE-2026-7482），这是一个heap out-of-bounds read漏洞：

• 影响版本：Ollama 0.17.1 之前所有版本
• 漏洞类型：Heap 越界读取（CWE-125）
• 攻击路径：/api/create → GGUF 加载 → 量化 → 内存泄漏 → /api/push 外泄
• 泄漏数据：环境变量、API Keys、系统提示、用户对话
• 无认证：/api/create 和 /api/push 端点无认证

🎯 漏洞核心

GGUF Model Loader 漏洞

漏洞位于GGUF model loader：

• /api/create端点接受攻击者提供的 GGUF 文件
• tensor offset 和 size超过文件实际长度
• 量化过程中读取超出分配的堆缓冲区
• 位置：fs/ggml/gguf.go 和 server/quantization.go（WriteTo()）

内存泄漏内容

泄漏的内存内容可能包含：

数据外泄途径

泄漏的内存内容可以通过/api/push端点外泄：

• 上传模型：将结果模型 artifact 上传
• 攻击者 registry：上传到攻击者控制的 registry
• 无认证：上游分布中端点无认证

⚠️ 风险等级

CVSS 4.0 评分

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:H/SC:N/SI:N/SA:N/AU:Y/R:A/V:D/RE:L/U:Red

📊 受影响部署

默认配置

Ollama 默认绑定127.0.0.1，但OLLAMA_HOST=0.0.0.0配置广泛使用：

• 默认绑定：127.0.0.1（本地）
• 公开暴露：OLLAMA_HOST=0.0.0.0（广泛使用）
• 大规模暴露：观察到大量公网暴露

高危场景

🔧 缓解措施

方案 1：升级到 0.17.1+（推荐）

# 升级 Ollama
# macOS
brew upgrade ollama

# Linux
curl -fsSL https://ollama.com/install.sh | sh

修复内容：补丁修复了 GGUF loader 的越界读取问题。

方案 2：限制网络暴露

# 不要使用 0.0.0.0 绑定
# 保持默认 127.0.0.1
OLLAMA_HOST=127.0.0.1

方案 3：防火墙限制

# 限制 /api/create 和 /api/push 端点访问
# 只允许可信来源

方案 4：监控异常 GGUF 文件

• 检查 GGUF 文件：tensor offset 和 size 是否合理
• 监控 /api/create：记录上传的 GGUF 文件来源
• 监控 /api/push：记录上传目标 registry

🚀 复现状态

已复现：安全研究人员已成功复现此漏洞：

• 复现条件：Ollama < 0.17.1
• 攻击路径：上传恶意 GGUF → 触发量化 → 内存泄漏
• 泄漏验证：成功泄漏环境变量和对话数据
• 外泄验证：成功通过 /api/push 外泄数据

📅 补丁信息

📝 总结

Ollama CVE-2026-7482 内存泄漏漏洞已复现：

• 影响 Ollama 0.17.1 之前所有版本
• Heap 越界读取，CWE-125
• 泄漏：环境变量、API Keys、系统提示、用户对话
• 外泄途径：/api/push 上传到攻击者 registry
• 无认证端点：/api/create 和 /api/push
• 公网暴露风险：OLLAMA_HOST=0.0.0.0 广泛使用
• 缓解：升级到 0.17.1+ 或限制网络暴露

已复现高危漏洞，立即升级或限制暴露。

NVD：https://nvd.nist.gov/vuln/detail/CVE-2026-7482

修复版本：https://github.com/ollama/ollama/releases/tag/v0.17.1