Cyera offentliggjorde tirsdag CVE-2026-7482, en heap out-of-bounds-lesefeil i Ollamas GGUF-modellaster. Sårbarheten er fjernutløsbar uten autentisering og rammer rundt 300 000 Ollama-tjenere som står åpent på offentlig internett.
Angrepskjeden er kort. Angriperen sender en preparert GGUF-fil der den deklarerte tensor-offsetten er større enn selve filen. Når Ollama prosesserer filen, leser den forbi den allokerte heap-bufferen og treffer minne som kan inneholde prompts, miljøvariabler, API-nøkler og tokens. Deretter brukes Ollamas egen modell-push-funksjon til å sende den modifiserte filen, komplett med stjålet heap-data, til en angriper-kontrollert server.
«Hele angrepet krever bare tre uautentiserte API-kall.» — Cyera, i sårbarhetsrapporten
Ollama starter som standard uten autentisering og lytter på alle nettverksgrensesnitt. Det betyr at hver instans som er tilgjengelig fra internett er sårbar, og at vellykket utnyttelse kan eksponere ansattes interaksjoner, kildekode, verktøyutdata og prompts med PII eller PHI.
Hva bør du gjøre?
- Oppgrader til Ollama 0.17.1 så raskt du klarer. Eldre versjoner inneholder den sårbare GGUF-lasteren.
- Sjekk om instansen din lytter offentlig. Bind Ollama til localhost eller sett den bak en autentiseringsproxy med nettverkssegmentering.
- Behandle eksponerte instanser som kompromittert. Roter alle API-nøkler og hemmeligheter som har vært i miljøvariablene mens tjeneren har vært åpen mot internett.