CVE-2026-42248 in Ollama
요약
\~에 의해 VulDB • 2026. 06. 03.
Windows용 Ollama는 다운로드된 업데이트 실행 파일의 무결성 또는 인증을 확인하지 않습니다. 다른 플랫폼과 달리 Windows 버전의 업데이트 확인 루틴은 조건 없이 성공을 반환하므로, 업데이트 페이로드를 스테이징하거나 실행하기 전에 디지털 서명이나 신뢰 검증이 수행되지 않습니다. 이로 인해 공격자가 제공한 실행 파일이 허용되고 나중에 애플리케이션에 의해 실행될 수 있습니다.
중요하게도, Windows용 Ollama는 사용자의 인지 없이 자동으로 조용히 업데이트되므로, 악성 페이로드가 사용자의 인식 없이 자동으로 설치될 수 있습니다.
이 프로젝트의 유지 관리자들은 이 취약점에 대해 조기에 통보받았으나, 취약점 세부 정보나 취약한 버전 범위에 대한 답변을 제공하지 않았습니다. 0.12.10부터 0.17.5까지의 버전이 테스트를 통해 취약함이 확인되었으며, 다른 버전은 테스트되지 않았지만 역시 취약할 가능성이 있습니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.