Vulnerabilidad crítica en Ollama permite fuga de memoria de procesos remotos
Publicado el
Vulnerabilidad de lectura fuera de límites en Ollama
Investigadores han revelado una vulnerabilidad crítica en Ollama, un popular marco de trabajo de código abierto que permite la ejecución local de grandes modelos de lenguaje (LLMs). Esta vulnerabilidad, catalogada como CVE-2026-7482, podría permitir a un atacante remoto no autenticado filtrar la memoria de procesos de Ollama, afectando a más de 300,000 servidores en todo el mundo.
La vulnerabilidad de lectura fuera de límites se ha denominado Bleeding Llama por Cyera, y tiene un puntaje de 9.1 en la escala CVSS. Según la descripción en CVE.org, la versión de Ollama anterior a la 0.17.1 presenta un problema en el cargador de modelos GGUF. Específicamente, el endpoint /api/create permite que un atacante envíe un archivo GGUF manipulado, en el que el tamaño y el desplazamiento del tensor declarado superan la longitud real del archivo. Esto provoca que el servidor lea más allá del búfer de memoria asignado durante la cuantización.
El formato GGUF, que significa GPT-Generated Unified Format, se utiliza para almacenar modelos de lenguaje grandes que pueden ser cargados y ejecutados fácilmente en entornos locales. La vulnerabilidad radica en el uso del paquete unsafe en la creación de un modelo a partir de un archivo GGUF, lo que permite realizar operaciones que eluden las garantías de seguridad de memoria del lenguaje de programación.
Escenario de ataque
En un escenario hipotético, un atacante podría enviar un archivo GGUF diseñado específicamente a un servidor Ollama expuesto. Al establecer la forma del tensor a un número muy grande, se desencadenaría la lectura fuera de límites durante la creación del modelo. La explotación exitosa de esta vulnerabilidad podría permitir el acceso a datos sensibles en la memoria de procesos de Ollama, incluyendo variables de entorno, claves API, mensajes del sistema y datos de conversación de usuarios concurrentes.
Los atacantes podrían exfiltrar esta información cargando el artefacto del modelo resultante a través del endpoint /api/push hacia un registro controlado por el atacante. El proceso de explotación se desarrolla en tres pasos: 1. Subir un archivo GGUF manipulado con una forma de tensor inflada a un servidor Ollama accesible a través de la red utilizando una solicitud HTTP POST. 2. Activar la creación del modelo mediante el endpoint /api/create, lo que desencadenaría la vulnerabilidad de lectura fuera de límites. 3. Exfiltrar datos desde la memoria del montón a un servidor externo mediante el endpoint /api/push.
Consecuencias y recomendaciones
Según el investigador de seguridad de Cyera, Dor Attias, un atacante puede obtener información valiosa sobre la organización a partir de las inferencias de IA, incluyendo claves API, código propietario y contratos con clientes. Además, dado que muchos ingenieros conectan Ollama a herramientas como Claude Code, el impacto de la vulnerabilidad puede ser aún más severo, ya que todas las salidas de las herramientas se almacenan en la memoria de Ollama, lo que potencialmente puede acabar en manos de atacantes.
Se recomienda a los usuarios que apliquen las últimas correcciones, limiten el acceso a la red, auditen las instancias en ejecución para detectar exposición a Internet y aseguren su configuración tras un firewall. También se aconseja implementar un proxy de autenticación o un gateway API delante de todas las instancias de Ollama, ya que la API REST no proporciona autenticación de forma nativa.
Otras vulnerabilidades
Este descubrimiento se produce en un contexto en el que investigadores de Striga han detallado dos vulnerabilidades adicionales en el mecanismo de actualización de Windows de Ollama, que pueden ser encadenadas para ejecutar código persistente. Estas vulnerabilidades, que aún no han sido parcheadas, se relacionan con una falta de verificación de firma y una vulnerabilidad de recorrido de ruta. Ambas permiten a un atacante ejecutar código arbitrario cada vez que inicia sesión, lo que agrava aún más la situación de seguridad en torno a Ollama.