CVE-2026-7482 in Ollamaजानकारी

सारांश

द्वारा VulDB • 27/05/2026

0.17.1 से पहले के Ollama में GGUF मॉडल लोडर में एक हीप आउट-ऑफ-बाउंड रीड (heap out-of-bounds read) दोष है। /api/create एंडपॉइंट एक हमलावर द्वारा प्रदान किए गए GGUF फ़ाइल को स्वीकार करता है, जिसमें घोषित टेंसर ऑफ़सेट और आकार फ़ाइल के वास्तविक लंबाई से अधिक होते हैं; fs/ggml/gguf.go और server/quantization.go (WriteTo()) में क्वांटीकरण के दौरान, सर्वर आवंटित हीप बफ़र से आगे पढ़ता है। लीक हुई मेमोरी सामग्री में पर्यावरण चर, API कुंजियाँ, सिस्टम प्रॉम्प्ट और अन्य उपयोगकर्ताओं की बातचीत का डेटा शामिल हो सकता है, और इसे /api/push एंडपॉइंट के माध्यम से परिणामी मॉडल आर्टिफैक्ट को एक हमलावर द्वारा नियंत्रित रजिस्ट्री पर अपलोड करके बाहर निकाला जा सकता है। अपस्ट्रीम वितरण में /api/create और /api/push एंडपॉइंट पर कोई प्रमाणीकरण नहीं है। डिफ़ॉल्ट डिप्लॉयमेंट 127.0.0.1 से बंधे होते हैं, लेकिन दस्तावेज़ीकृत OLLAMA_HOST=0.0.0.0 कॉन्फ़िगरेशन व्यावहारिक रूप से व्यापक रूप से उपयोग किया जाता है (बड़े पैमाने पर सार्वजनिक इंटरनेट एक्सपोज़र देखा गया है)।

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

जिम्मेदार

Echo

आरक्षित करना

30/04/2026

प्रकटीकरण

04/05/2026

संयम

स्वीकृत

प्रविष्टि

VDB-360957

CPE

तैयार

CWE

CWE-125 (पुष्टि की गई)

CVSS

9.1 (CNA)

EPSS

0.00034

KEV

नहीं

गतिविधियाँ

बहुत कम

स्रोत

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-7482
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-7482
CVE Details	https://www.cvedetails.com/cve/CVE-2026-7482/

◂ पिछला सिंहावलोकन अगला ▸

Do you want to use VulDB in your project?

Use the official API to access entries easily!