Критические уязвимости Ollama: удаленное выполнение кода без аутентификации угрожает серверам ИИ

Стремительное внедрение больших языковых моделей (LLM) в бизнес-процессы породило новый класс угроз. Инструменты для локального запуска таких моделей, вроде Ollama, становятся мишенью злоумышленников. И совсем недавно эта угроза приобрела вполне конкретные очертания. Польская группа реагирования на компьютерные инциденты CERT Polska раскрыла информацию о двух критических уязвимостях в Ollama. Вместе они позволяют удаленному нарушителю полностью скомпрометировать сервер, на котором запущен данный сервис.

Детали уязвимостей

Согласно записям в Банке данных угроз безопасности информации, которые получили идентификаторы BDU:2026-08026 (CVE-2026-42248) и BDU:2026-08027 (CVE-2026-42249), проблема затрагивает версии Ollama с 0.12.10 по 0.17.5. Оценка по шкале CVSS 3.1 составила 9,8 балла из десяти возможных. Это критический уровень опасности. В первую очередь атака угрожает разработчикам и компаниям, которые развернули Ollama в корпоративной сети как инфраструктурный сервис.

Первая уязвимость CVE-2026-42248 относится к типу ошибок CWE-494. Речь идёт о загрузке кода без проверки его целостности. Данный класс ошибок подразумевает, что приложение загружает и исполняет код из внешнего источника, не проверяя его подлинность или содержимое. В контексте Ollama это особенно опасно. Система предназначена для скачивания и запуска готовых моделей из публичных репозиториев. Если механизм проверки отсутствует злоумышленник может подменить оригинальную модель на вредоносную. После запуска такая модель способна выполнить произвольный код на сервере. Вместе с тем атака не требует от жертвы предварительной аутентификации. Это означает, что злоумышленник может отправить специально сформированный запрос прямо из интернета.

Вторая проблема, зафиксированная под номером CVE-2026-42249, сочетает в себе сразу два типа ошибок. Первая из них - это CWE-22, то есть неверное ограничение имени пути к каталогу с ограниченным доступом. Второй тип - снова CWE-494, загрузка кода без проверки целостности. Ошибка типа "обход пути" (path traversal) возникает, когда приложение некорректно проверяет пользовательский ввод. В результате атакующий способен выйти за пределы разрешённой директории. Это позволяет ему получить доступ к системным файлам и каталогам, к которым не должен иметь доступа обычный пользователь. Комбинируя этот приём с загрузкой вредоносной полезной нагрузки, злоумышленник может разместить свой код в произвольной папке на сервере. Вследствие этого следующий этап атаки - запуск этого кода - становится лишь вопросом времени.

Важно подчеркнуть, что обе уязвимости эксплуатируются удалённо. Вектор атаки предполагает манипулирование структурами данных. Никаких специальных привилегий у нарушителя на момент атаки нет. Это значит, что сервер Ollama, открытый для внешних запросов, может быть скомпрометирован всего за несколько секунд. Особенно уязвимы публичные развёртывания, где порт сервиса не заблокирован межсетевым экраном (firewall). В случае успешной эксплуатации злоумышленник получает полный контроль над сервером. Последствия могут быть самыми разными: от кражи обученных моделей и данных для дообучения до превращения сервера в часть ботнета или площадки для майнинга криптовалют.

Хорошая новость заключается в том, что производитель уже знает о проблеме. Разработчики Ollama выпустили обновление, которое устраняет уязвимости. Способ устранения стандартный - обновление программного обеспечения до версии, следующей за 0.17.5. Ссылки на подробные технические рекомендации опубликованы на сайте CERT Polska. Кроме того, сам проект Ollama также разместил информацию о патче на официальной странице.

На данный момент сведения о существовании публичного эксплойта уточняются. Однако специалисты по информационной безопасности сходятся во мнении, что детали уязвимости неизбежно станут известны широкому кругу. Учитывая критический рейтинг CVSS, атаки могут начаться в любой момент. Компаниям и частным разработчикам, использующим Ollama, стоит как можно быстрее установить обновлённую версию.

Этот случай напоминает простое правило: любой сервис, принимающий сетевые подключения, - это потенциальная цель. Разработка на основе больших языковых моделей не делает исключения. А отсутствие проверки целостности загружаемых данных - одна из самых опасных ошибок проектирования. Именно она позволяет превратить полезный инструмент в чёрный ход для злоумышленника.