つみかさね

CVE-2026-7482

Critical(9.1)

CVE-2026-7482 — Ollama ヒープ境界外読み取り脆弱性

公開日: 2026-05-05データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
OllamaOllama, Inc.< 0.17.1

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1Ollamaのバージョンを確認する(ollama --version)
  2. 20.17.1未満の場合はアップデートする
  3. 3外部公開している場合はアクセス制限を確認する

影響対象

Ollama利用者LLMサービス運用者

補足

  • -ローカルのみで利用している場合もアップデートを推奨
CVEOllamaLLMAI情報漏洩

概要

Ollama 0.17.1未満のGGUFモデルローダーに、ヒープ境界外読み取りの脆弱性が発見されました。/api/createエンドポイントが攻撃者の作成したGGUFファイルを受け付け、テンソルのオフセットとサイズがファイルの実際の長さを超えている場合に、量子化処理でヒープバッファを超えた読み取りが発生します。漏洩する情報には環境変数、APIキー、システムプロンプト、他ユーザーの会話データが含まれる可能性があります。

CVSSベクトル

項目
CVSSスコア9.1(Critical)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な特権レベル不要
ユーザー関与不要
CWECWE-125(境界外読み取り)

影響を受けるソフトウェア

製品ベンダー影響バージョン
OllamaOllama, Inc.0.17.1 未満

修正バージョンと回避策

  • Ollama 0.17.1 以降へアップデートしてください
  • 外部にOllamaを公開している場合は、アップデートまでアクセスを制限してください
  • /api/createエンドポイントへの外部アクセスを制限することでリスクを軽減できます

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-7482
GitHub:https://github.com/ollama/ollama/pull/14406
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。