OllamaのGGUFモデルローダーに、認証なしで機密情報を窃取できる重大な脆弱性（CVE-2026-7482）

今週中

OllamaのGGUFモデルローダーに、認証なしで機密情報を窃取できる重大な脆弱性（CVE-2026-7482）

脆弱性🌐 英語ソース

🔢 CVECVE-2026-7482

📅 2026-05-05📰 securityweek

📌 一言でいうと

OllamaのGGUFモデルローダーに、認証なしで機密情報を窃取できる重大な脆弱性（CVE-2026-7482）が発見されました。攻撃者が細工したGGUFファイルを読み込ませることで、ヒープメモリ上のAPIキーやトークン、プロンプトなどの情報を読み取り、外部サーバーへ送信させることが可能です。CVSSスコアは9.3と非常に高く、影響を受ける展開数は約30万件に及ぶとされています。

🏢影響範囲

OllamaをセルフホストしてLLMを運用している組織および個人

✅該当時の対応

最新バージョンのOllamaへのアップデートを確認し、適用すること。また、不審なモデルファイルの読み込みを制限し、APIエンドポイントへのアクセス制御を適切に設定することを推奨します。

📧 メール案を見る (管理者向け)

⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。

件名: 【共有】Ollama CVE-2026-7482 (Bleeding Llama) 対応について

お疲れさまです。Ollamaの重大な脆弱性に関する情報共有です。

■ 概要
OllamaのGGUFモデルローダーにおけるヒープ境界外読み取りの脆弱性（CVE-2026-7482）が報告されました。CVSSスコアは9.3であり、認証なしでAPIキーや環境変数などの機密情報を窃取される恐れがあります。

■ 影響範囲
- 対象製品: Ollama (GGUFモデルローダーを利用するバージョン)

■ 対応手順
1. 運用中のOllamaのバージョンを確認してください。
2. ベンダーから提供される最新のセキュリティパッチを適用し、アップデートを行ってください。
3. 信頼できないソースからのGGUFファイルのインポートを禁止してください。

■ 参考情報
- Cyera Security Advisory

対応優先度: 高
対応期限: 速やかに

Subject: [Security Alert] Ollama CVE-2026-7482 (Bleeding Llama) Mitigation

Dear IT/Security Team,

We are sharing critical information regarding a vulnerability in Ollama.

■ Overview
A critical heap out-of-bounds read vulnerability (CVE-2026-7482), known as 'Bleeding Llama', has been identified in the GGUF model loader. This flaw allows unauthenticated attackers to exfiltrate sensitive heap data, such as API keys and tokens, with a CVSS score of 9.3.

■ Scope
- Affected Product: Ollama (versions utilizing the GGUF model loader)

■ Mitigation Steps
1. Identify all active Ollama deployments within the infrastructure.
2. Update Ollama to the latest patched version immediately.
3. Restrict the loading of GGUF files from untrusted sources.

■ Reference
- Cyera Security Advisory

Priority: High
Deadline: Immediate

🔗 元の記事を読む