大工网安告[2026014]

一、 情况分析

Ollama是一款开源跨平台大模型运行与管理框架，支持快速本地/私有化部署LLaMA、DeepSeek、Qwen等主流大模型，提供模型加载、量化、推理、API 服务等核心能力，可通过简单命令完成模型拉取、启动与调用，广泛用于个人AI应用开发、企业内部知识库搭建、私有化AI服务部署等场景，默认开放11434端口提供API接口，支持多平台环境运行，是轻量化大模型落地的主流工具之一。

近日，监测到官方修复Ollama内存泄漏漏洞(CVE-2026-7482)， 该漏洞源于处理用户上传的恶意GGUF文件时，未对张量偏移量与大小进行边界校验，导致服务器进程读取越界堆内存。攻击者可通过三次未认证API调用，远程窃取API密钥、环境变量等敏感数据，还可引发服务崩溃。目前该漏洞PoC和技术细节已公开。

威胁类型：信息泄露、拒绝服务。

技术类型：越界读取。

危害描述：攻击者可通过三次未认证API调用，远程窃取API密钥、环境变量等敏感数据，还可引发服务崩溃。

二、 影响版本

Ollama < 0.17.1

三、 处置建议

修复解决方案（含漏洞补丁）：

官方已发布安全补丁，请及时更新至最新版本：

Ollama >= 0.17.1

下载地址：

https://github.com/ollama/ollama/releases/tag/v0.17.1