Bleeding Llama: krytyczna luka w Ollama wycieka pamięć z 300 tys. serwerów
CVE-2026-7482 to luka 9,1 CVSS w loaderze modeli GGUF w Ollama: trzy nieuwierzytelnione zapytania API wystarczą, by wykraść z pamięci serwera klucze API, system prompty i rozmowy użytkowników. Łatka jest w Ollama v0.17.1.
Badacze z Cyera opublikowali szczegóły podatności CVE-2026-7482 (CVSS 9.1) nazwanej Bleeding Llama — krytycznego błędu przepełnienia bufora sterty w loaderze plików GGUF w Ollama. Gdy serwer przetwarza plik modelu, w którym zadeklarowane przesunięcie tensora wykracza poza rzeczywistą długość pliku, funkcje w fs/ggml/gguf.go i server/quantization.go czytają dane poza przydzielonym buforem sterty. Wynik: atakujący może odczytać całą zawartość pamięci procesu Ollama.
Co gorsze, exploit wymaga zaledwie trzech nieuwierzytelnionych wywołań API i nie pozostawia żadnych błędów w logach — wykrycie ataku bez dedykowanego monitorowania endpointów jest praktycznie niemożliwe. Z wyciekniętej pamięci można wyekstrahować: klucze API i tokeny przechowywane w zmiennych środowiskowych, system prompty wszystkich uruchomionych modeli, historię rozmów z innymi użytkownikami, a nawet własnościowy kod przesłany do modelu lub dane klientów. Według skanowania internetu narażonych było ~300 tysięcy publicznie dostępnych instancji Ollama na całym świecie.
Poprawka trafiła do repozytorium 25 lutego, ale nie była oznaczona jako aktualizacja bezpieczeństwa — operatorzy mogli jej nie zainstalować, nie wiedząc o zagrożeniu. CVE nadano dopiero w maju 2026, co sprawiło że luka była poza radarami skanerów podatności przez kilka miesięcy.