🔍 Contexte

Publié le 5 mai 2026 par Dor Attias de Cyera Research, cet article détaille la découverte d’une vulnérabilité critique CVE-2026-7482 (CVSS 9.1) dans Ollama, une plateforme open-source permettant d’exécuter des LLMs localement. Ollama compte environ 170 000 étoiles GitHub et plus de 100 millions de téléchargements sur Docker Hub.

🐛 Nature de la vulnérabilité

La vulnérabilité est un out-of-bounds heap read situé dans le code de quantification des modèles GGUF, dans la fonction WriteTo qui utilise le package Go unsafe. Le mécanisme d’exploitation repose sur :

  • L’upload d’un fichier GGUF malformé via l’endpoint /api/blobs/sha256:[digest] dont le champ shape (dimensions du tenseur) est artificiellement gonflé (ex : 1 million d’éléments pour un buffer réel bien plus petit)
  • La création d’un modèle via /api/create avec ce fichier, déclenchant la lecture hors limites dans ggml_fp16_to_fp32_row
  • L’utilisation d’une conversion F16 → F32 (sans perte) pour préserver les données lues en mémoire
  • L’exfiltration via /api/push vers un serveur contrôlé par l’attaquant, en nommant le modèle avec une URI HTTP malveillante

💥 Impact

La mémoire heap extraite contient :

  • Messages utilisateurs (prompts)
  • System prompts d’autres modèles
  • Variables d’environnement de la machine hôte (potentiellement des clés API, secrets)

Ollama écoute par défaut sur toutes les interfaces (0.0.0.0) sans authentification. Environ 300 000 serveurs exposés sur Internet sont potentiellement vulnérables. L’exploitation ne nécessite que 3 appels API.

📅 Timeline de divulgation

  • 2 février 2026 : Rapport envoyé à Ollama
  • 25 février 2026 : Ollama reconnaît la vulnérabilité et propose un correctif
  • 2 mars 2026 : Soumission CVE à MITRE
  • 26 avril 2026 : CVE soumis à Echo (CNA tiers) faute de réponse MITRE
  • 28 avril 2026 : Echo assigne CVE-2026-7482
  • 1er mai 2026 : CVE publié
  • 5 mai 2026 : Publication du blog Cyera

📄 Type d’article

Il s’agit d’une publication de recherche technique détaillant la découverte, l’analyse et l’exploitation d’une vulnérabilité critique dans Ollama, avec preuve de concept complète.

🧠 TTPs et IOCs détectés

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1005 — Data from Local System (Collection)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)

IOC

🟡 Indice de vérification factuelle : 46/100 (moyenne)

  • ⬜ cyera.com — source non référencée (0pts)
  • ✅ 16967 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 1 IOC(s) (6pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 3 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ 0/1 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://www.cyera.com/research/bleeding-llama-critical-unauthenticated-memory-leak-in-ollama