Los investigadores de ciberseguridad han revelado que Ollama tiene importantes vulnerabilidades de seguridad. La explotación exitosa de esta vulnerabilidad podría permitir que un atacante remoto y no autenticado pierda toda la memoria del proceso.
Esta falla de lectura fuera de límites puede afectar a más de 300.000 servidores en todo el mundo y se rastrea como CVE-2026-7482 (puntuación CVSS: 9,1). Llama sangrante con nombre en clave de Cyera.
Ollama es un popular marco de código abierto que le permite ejecutar modelos de lenguaje a gran escala (LLM) localmente en lugar de en la nube. En GitHub, el proyecto tiene más de 171.000 estrellas y se ha bifurcado más de 16.100 veces.
«Ollama anterior a 0.17.1 tiene una vulnerabilidad de lectura fuera de límites en el cargador de modelos GGUF», según la descripción de la falla en CVE.org. «El punto final /api/create acepta archivos GGUF proporcionados por el atacante donde el desplazamiento y el tamaño del tensor declarado exceden la longitud real del archivo. fs/ggml/gguf.go y server/quantization.go (WriteTo()) Durante la cuantificación, el servidor lee más allá de su búfer de montón asignado.
GGUF (formato unificado generado por GPT) es un formato de archivo que se utiliza para almacenar modelos de lenguaje de gran tamaño para que puedan cargarse y ejecutarse localmente fácilmente.
El núcleo del problema surge del uso por parte de Ollama de un paquete inseguro al crear un modelo a partir de un archivo GGUF, específicamente dentro de una función llamada «WriteTo()», que le permite realizar operaciones que eluden las garantías de seguridad de la memoria del lenguaje de programación.
En un escenario de ataque hipotético, un atacante malintencionado podría enviar un archivo GGUF especialmente diseñado con la forma del tensor configurada en un número muy grande al servidor Ollama expuesto, lo que desencadenaría una lectura del montón fuera de límites durante la creación del modelo utilizando el punto final /api/create. La explotación exitosa de la vulnerabilidad podría resultar en la divulgación de datos confidenciales de la memoria del proceso Ollama.
Esto puede incluir variables de entorno, claves API, mensajes del sistema y datos de conversaciones de usuarios simultáneos. Estos datos se pueden filtrar cargando los artefactos del modelo generado en un registro controlado por un atacante a través del punto final /api/push.
La cadena de explotación se desarrolla en tres pasos.
Cargue un archivo GGUF diseñado que contenga una forma de tensor inflado a un servidor Ollama accesible en red mediante una solicitud HTTP POST. El punto final /api/create se utiliza para activar la creación del modelo, lo que genera una vulnerabilidad de lectura fuera de límites. Extraiga datos de la memoria del montón a un servidor externo utilizando el punto final /api/push.
«A través de la inferencia de IA, un atacante puede aprender básicamente todo sobre una organización: claves API, código propietario, contratos con clientes, etc.», dijo el investigador de seguridad de Cyera Dor Attias.
«Además de eso, los ingenieros suelen conectar Ollama a herramientas como Claude Code. En tales casos, el impacto es aún mayor. La salida de todas las herramientas fluye al servidor de Ollama, se almacena en el montón y podría terminar en manos de un atacante».
Recomendamos que los usuarios apliquen las últimas correcciones, restrinjan el acceso a la red, auditen las instancias en ejecución para detectar exposición a Internet y aíslen y protejan las instancias detrás de firewalls. Dado que la API REST no proporciona autenticación lista para usar, también se recomienda implementar un proxy de autenticación o una puerta de enlace API delante de cada instancia de Ollama.
Dos fallas sin parchear en Ollama conducen a la ejecución persistente de código
El desarrollo se produce cuando los investigadores de Striga detallaron dos vulnerabilidades en el mecanismo de actualización de Windows de Ollama que podrían derivar en la ejecución de código persistente. Esta falla no se solucionó después de la publicación del 27 de enero de 2026 y se publicó después del período de publicación de 90 días.
Según el cofundador de Striga, Bartłomiej «Bartek» Dmitruk, el cliente de escritorio de Windows se inicia automáticamente al iniciar sesión desde la carpeta de inicio de Windows, escucha en 127.0.0(.)1:11434, busca periódicamente actualizaciones en segundo plano a través del punto final /api/update y ejecuta las actualizaciones pendientes la próxima vez que se inicie la aplicación.
Las vulnerabilidades identificadas están relacionadas con el recorrido de ruta y las comprobaciones de firmas faltantes, que, cuando se combinan con la rutina de inicio de sesión, podrían permitir que un atacante con la capacidad de influir en las respuestas de actualización ejecute código arbitrario en cada inicio de sesión. Los defectos se enumeran a continuación:
CVE-2026-42248 (puntuación CVSS: 7,7): vulnerabilidad de validación de firma que no valida los archivos binarios de actualización antes de la instalación, a diferencia de la versión macOS. CVE-2026-42249 (puntuación CVSS: 7,7): una vulnerabilidad de recorrido de ruta debido al hecho de que Windows Updater crea la ruta local para el directorio provisional del instalador directamente desde los encabezados de respuesta HTTP sin desinfectarlo.
Para explotar esta falla, un atacante necesitaría controlar un servidor de actualización al que pueda acceder el cliente Ollama de la víctima. Esta situación puede llevar a un escenario en el que se proporciona un archivo ejecutable arbitrario como parte del proceso de actualización y se escribe en la carpeta de inicio de Windows sin ningún problema de verificación de firmas.
Para obtener control sobre las respuestas de actualización, puede anular OLLAMA_UPDATE_URL para dirigir al cliente al servidor local a través de HTTP simple. La cadena de ataque también supone que AutoUpdateEnabled está activado, que es la configuración predeterminada.
Además, la falta de comprobaciones de integridad podría permitir que el código se ejecute automáticamente sin explotar la vulnerabilidad de recorrido de ruta. En este caso, el instalador se colocará en el directorio provisional esperado. La próxima vez que arranca desde la carpeta de inicio, se llama al proceso de actualización sin revalidar la firma y en su lugar se ejecuta el código del atacante.
Dicho esto, la ejecución remota de código no es persistente ya que la próxima actualización legítima sobrescribirá el archivo preparado. Agregar un recorrido de ruta a esto permite que un atacante malintencionado redirija el ejecutable para escribir fuera de su ruta normal, lo que permite la ejecución de código persistente.
Según CERT Polska, que se hizo cargo del proceso de divulgación coordinado, las versiones 0.12.10 a 0.17.5 de Ollama para Windows son vulnerables a dos fallos. Mientras tanto, le recomendamos que desactive las actualizaciones automáticas, elimine los accesos directos de Ollama existentes de su carpeta de inicio («%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup») y deshabilite la ruta de ejecución silenciosa al iniciar sesión.
«Las instalaciones de Ollama para Windows que ejecutan las versiones 0.12.10 a 0.22.0 son vulnerables», dijo Dmitruk. «El recorrido de ruta hace que un ejecutable elegido por el atacante se escriba en la carpeta de inicio de Windows. El ejecutable permanece allí porque no hay verificación de firma. Windows no realiza ninguna limpieza posterior a la escritura para eliminar archivos sin firmar en un actualizador en ejecución. En el siguiente inicio de sesión, Windows ejecuta lo que queda».
«Esta cadena genera una ejecución de código persistente y silenciosa en el nivel de privilegio del usuario que ejecuta Ollama. Las cargas útiles realistas incluyen un shell inverso, un ladrón de información para robar secretos del navegador o claves SSH, o un cuentagotas que gira hacia mecanismos de persistencia adicionales, cualquier cosa que se ejecute como el usuario actual. Eliminar el binario eliminado de la carpeta de inicio finaliza la persistencia, pero la falla subyacente permanece».
Source link
