CVE-2026-7482 in Ollamaالمعلومات

الملخص

بحسب VulDB • 27/05/2026

يحتوي Ollama قبل الإصدار 0.17.1 على ثغرة قراءة خارج حدود الذاكرة (Heap Out-of-Bounds Read) في محمّل نماذج GGUF. يقبل نقطة النهاية `/api/create` ملف GGUF مزوّد من قبل المهاجم، حيث تتجاوز إزاحة الموتر (Tensor Offset) والحجم المُعلَنان الطول الفعلي للملف؛ وأثناء عملية التكميم (Quantization) في `fs/ggml/gguf.go` و `server/quantization.go` (دالة `WriteTo()`)، يقوم الخادم بقراءة ما بعد المخزن المؤقت المخصّص على الكومة (Heap Buffer). قد تتضمن محتويات الذاكرة المسرّبة متغيرات البيئة، ومفاتيح واجهة برمجة التطبيقات (API Keys)، وإرشادات النظام (System Prompts)، وبيانات محادثات المستخدمين المتزامنين، ويمكن استغلالها عبر رفع نموذج الناتج من خلال نقطة النهاية `/api/push` إلى مستودع يتحكم فيه المهاجم. لا تتطلب نقاط النهاية `/api/create` و `/api/push` أي مصادقة في التوزيع الأصلي (Upstream Distribution). ترتبط التوزيعات الافتراضية بـ `127.0.0.1`، لكن إعداد `OLLAMA_HOST=0.0.0.0` المذكور في التوثيق يُستخدم على نطاق واسع في الممارسة العملية (تم رصد تعرض واسع عبر الإنترنت العام).

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

Echo

حجز

30/04/2026

إفشاء

04/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-360957

EPSS

0.00046

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-7482
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-7482
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-7482/

التالي نظرة عامة السابق

Do you know our Splunk app?

Download it now for free!