CVE-2026-42248 in Ollama信息

摘要

由 VulDB • 2026-05-16

Windows 版 Ollama 未对下载的更新可执行文件执行完整性或真实性验证。与其他平台不同，Windows 版更新验证例程无条件返回成功，因此在暂存或执行更新载荷之前，不会执行任何数字签名或信任验证，从而导致攻击者提供的可执行文件被接受并由应用程序后续执行。

关键的是，Windows 版 Ollama 执行静默自动更新，因此恶意载荷可能在用户不知情的情况下自动安装。

该项目维护者已提前收到关于此漏洞的通知，但未回复有关漏洞详情或受影响版本范围的信息。已测试并确认受影响的版本为 0.12.10 至 0.17.5，其他版本未经测试，但也可能受到影响。

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

负责

CERT-PL

预定

2026-04-25

披露

2026-04-29

管理

已接受

条目

VDB-360137

CPE

准备好

CWE

CWE-494 (已确认)

CVSS

9.8 (NVD)

EPSS

0.00034

KEV

否

活动

非常低

来源

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-42248
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-42248
CVE Details	https://www.cvedetails.com/cve/CVE-2026-42248/

◂ 上一步一览下一步 ▸

Do you want to use VulDB in your project?

Use the official API to access entries easily!