Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
Ollama sotto attacco: CVE-2026-7482 consente furto dati via GGUF senza autenticazione (CVSS 9.1)
Una vulnerabilità critica in Ollama, piattaforma open source molto diffusa per eseguire modelli di linguaggio in locale, può consentire a un attaccante remoto e non autenticato di leggere porzioni di memoria del processo e arrivare a estrarre informazioni sensibili. Il problema è tracciato come CVE-2026-7482 con punteggio CVSS 9.1 e riguarda le versioni precedenti alla 0.17.1.
L’impatto potenziale è elevato perché molti server espongono l’interfaccia API in rete, rendendo possibile l’attacco senza credenziali.
Il difetto è un out-of-bounds read nello strato di caricamento dei modelli GGUF, un formato usato per distribuire e caricare LLM localmente. In pratica, tramite un file GGUF malevolo è possibile dichiarare offset e dimensioni dei tensori superiori alla reale lunghezza del file. Durante la fase di creazione e quantizzazione del modello, il server finisce per leggere oltre il buffer heap allocato, con conseguente perdita di dati dalla memoria. Il rischio aumenta perché alcune parti del codice usano operazioni non sicure che aggirano le garanzie di sicurezza della memoria del linguaggio.
Uno scenario di attacco tipico sfrutta endpoint REST esposti. Un aggressore carica un GGUF appositamente costruito e avvia la creazione del modello tramite l’endpoint /api/create, forzando la lettura fuori dai limiti. A quel punto i dati ottenuti possono includere variabili di ambiente, chiavi API, system prompt e anche dati di conversazioni di utenti concorrenti presenti in memoria. La fase finale può prevedere l’esfiltrazione caricando l’artefatto risultante verso un registry controllato dall’attaccante tramite /api/push, trasformando una semplice perdita di memoria in un canale di fuga dati ripetibile.
Per ridurre il rischio è fondamentale aggiornare Ollama alla versione corretta, limitare l’accesso di rete alle istanze e verificare se i servizi risultano raggiungibili da Internet. Poiché le API non includono autenticazione nativa, è consigliato posizionare un reverse proxy con autenticazione o un API gateway davanti a ogni istanza, oltre a segmentare la rete e applicare regole firewall restrittive. Utile anche un audit dei segreti, con rotazione delle chiavi potenzialmente esposte e revisione dei log per richieste anomale verso gli endpoint di creazione e push dei modelli.