Pesquisadores de cibersegurança revelaram uma vulnerabilidade crítica no Ollama que, se explorada com sucesso, pode permitir que um atacante remoto e não autenticado vaze toda a memória do processo.
A falha de leitura fora dos limites, que pode afetar mais de 300.000 servidores em todo o mundo, está registrada como
CVE-2026-7482
, com pontuação CVSS de 9,1.
A Cyera deu a ela o codinome Bleeding Llama.
O Ollama é um framework open source popular que permite executar grandes modelos de linguagem, ou LLMs, localmente em vez de na nuvem.
No GitHub, o projeto tem mais de 171.000 estrelas e foi bifurcado mais de 16.100 vezes.
“O Ollama anterior à versão 0.17.1 contém uma vulnerabilidade de leitura fora dos limites na heap no carregador de modelos GGUF”, diz a descrição da falha na CVE.org.
“O endpoint /api/create aceita um arquivo GGUF fornecido pelo atacante, no qual o deslocamento e o tamanho declarados do tensor excedem o comprimento real do arquivo.
Durante a quantização em fs/ggml/gguf.go e server/quantization.go (WriteTo()), o servidor lê além do buffer alocado na heap.”
GGUF, sigla para GPT-Generated Unified Format, é um formato de arquivo usado para armazenar grandes modelos de linguagem, de modo que possam ser carregados e executados localmente com facilidade.
O problema, em sua essência, vem do uso do pacote unsafe pelo Ollama ao criar um modelo a partir de um arquivo GGUF, especificamente em uma função chamada WriteTo(), o que torna possível executar operações que contornam as garantias de segurança de memória da linguagem.
Em um cenário hipotético de ataque, um agente malicioso pode enviar um arquivo GGUF специально criado para um servidor Ollama exposto, com a forma do tensor definida para um número muito alto, a fim de acionar a leitura fora dos limites na heap durante a criação do modelo usando o endpoint /api/create.
A exploração bem-sucedida da vulnerabilidade pode vazar dados sensíveis da memória do processo do Ollama.
Isso pode incluir variáveis de ambiente, chaves de API, prompts do sistema e dados de conversas de usuários simultâneos.
Essas informações podem ser exfiltradas ao enviar o artefato do modelo resultante pelo endpoint /api/push para um registro controlado pelo atacante.
A cadeia de exploração ocorre em três etapas:
Envio de um arquivo GGUF manipulado, com uma forma de tensor inflada, para um servidor Ollama acessível pela rede por meio de uma requisição HTTP POST.
Uso do endpoint /api/create para acionar a criação do modelo e disparar a vulnerabilidade de leitura fora dos limites.
Uso do endpoint /api/push para exfiltrar dados da memória da heap para um servidor externo.
“Um atacante pode descobrir praticamente qualquer coisa sobre a organização a partir da inferência da sua IA, como chaves de API, código proprietário, contratos com clientes e muito mais”, afirmou o pesquisador de segurança da Cyera, Dor Attias.
“Além disso, engenheiros frequentemente conectam o Ollama a ferramentas como o Claude Code.
Nesses casos, o impacto é ainda maior, porque toda a saída das ferramentas flui para o servidor Ollama, fica armazenada na heap e pode acabar nas mãos de um atacante.”
Os usuários são orientados a aplicar as correções mais recentes, limitar o acesso à rede, auditar instâncias em execução para verificar exposição à internet e isolá-las e protegê-las atrás de um firewall.
Também é recomendável implantar um proxy de autenticação ou uma gateway de API na frente de todas as instâncias do Ollama, já que a REST API não oferece autenticação nativa.
Duas falhas sem correção no Ollama levam à execução persistente de código
A divulgação ocorre no momento em que pesquisadores da Striga detalharam duas vulnerabilidades no mecanismo de atualização do Ollama para Windows que podem ser combinadas para permitir execução persistente de código.
As falhas permanecem sem correção após a divulgação em 27/01/2026 e foram publicadas depois do encerramento do período de divulgação responsável de 90 dias.
Segundo Bartłomiej “Bartek” Dmitruk, cofundador da Striga, o cliente para desktop do Windows inicia automaticamente ao entrar na sessão a partir da pasta Startup do Windows, escuta em 127.0.0[.]1:11434 e verifica periodicamente se há atualizações em segundo plano por meio do endpoint /api/update para aplicar qualquer atualização pendente na próxima inicialização do aplicativo.
As vulnerabilidades identificadas envolvem um path traversal e a ausência de verificação de assinatura que, combinados com a rotina executada no login, podem permitir que um atacante, capaz de influenciar as respostas de atualização, execute código arbitrário em cada início de sessão.
As falhas são as seguintes:
CVE-2026-42248
, com pontuação CVSS de 7,7, é uma vulnerabilidade de falta de verificação de assinatura que não valida o binário da atualização antes da instalação, ao contrário da versão para macOS.
CVE-2026-42249
, com pontuação CVSS de 7,7, é uma vulnerabilidade de path traversal que surge porque o atualizador do Windows cria o caminho local do diretório de preparação do instalador diretamente a partir dos cabeçalhos da resposta HTTP, sem sanitizá-los.
Para explorar as falhas, o atacante precisa controlar um servidor de atualização acessível pelo cliente Ollama da vítima.
Nesse cenário, pode ser possível fornecer um executável arbitrário como parte do processo de atualização, que será gravado na pasta Startup do Windows sem acionar nenhuma verificação de assinatura.
Para controlar a resposta de atualização, uma abordagem é sobrescrever a variável OLLAMA_UPDATE_URL para apontar o cliente a um servidor local em HTTP simples.
A cadeia de ataque também pressupõe que a opção AutoUpdateEnabled esteja ativada, o que é o padrão.
Além disso, a ausência de verificação de integridade pode levar à execução de código por conta própria, sem necessidade de explorar o path traversal.
Nesse caso, o instalador é colocado no diretório de preparação esperado.
Na próxima abertura a partir da pasta Startup, o processo de atualização é acionado sem nova verificação de assinatura, fazendo com que o código do atacante seja executado em seu lugar.
Ainda assim, a execução remota de código não é persistente, já que a próxima atualização legítima substitui o arquivo preparado.
Ao adicionar o path traversal à equação, um agente malicioso pode redirecionar o executável para ser gravado fora do caminho usual e obter execução persistente de código.
Segundo a CERT Polska, que assumiu o processo de divulgação coordenada, as versões do Ollama para Windows de 0.12.10 a 0.17.5 são vulneráveis às duas falhas.
Enquanto isso, os usuários são recomendados a desativar as atualizações automáticas e remover qualquer atalho existente do Ollama da pasta Startup ("%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup") para desabilitar o caminho de execução silenciosa no login.
“Qualquer instalação do Ollama para Windows executando a versão 0.12.10 até a 0.22.0 é vulnerável”, disse Dmitruk.
“O path traversal grava executáveis escolhidos pelo atacante na pasta Startup do Windows.
A ausência de verificação de assinatura os mantém lá: a limpeza após a gravação, que removeria arquivos sem assinatura em um atualizador funcionando corretamente, não faz nada no Windows.
No próximo login, o Windows executa o que quer que tenha sido deixado ali.”
“A cadeia produz execução persistente e silenciosa de código no nível de privilégio do usuário que executa o Ollama.
Cargas úteis realistas incluem reverse shells, infostealers que exfiltram segredos do navegador e chaves SSH, ou droppers que avançam para mecanismos adicionais de persistência.
Tudo o que executa como o usuário atual.
Remover o binário depositado da pasta Startup encerra a persistência, mas as falhas subjacentes continuam.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...