Investigadores de ciberseguridad han revelado una vulnerabilidad de seguridad crítica en Ollama que, si se explota con éxito, podría permitir que un atacante remoto y no autenticado filtre toda su memoria de proceso.
La falla de lectura fuera de límites, que probablemente afecte a más de 300.000 servidores en todo el mundo, se rastrea como CVE-2026-7482 (Puntuación CVSS: 9,1). ha sido nombrado en clave Llama sangrante por Cyera.
Ollama es un marco popular de código abierto que permite ejecutar grandes modelos de lenguaje (LLM) localmente en lugar de en la nube. En GitHub, el proyecto tiene más de 171.000 estrellas y se ha bifurcado más de 16.100 veces.
«Ollama anterior a 0.17.1 contiene una vulnerabilidad de lectura fuera de límites en el cargador de modelos GGUF», según una descripción de la falla en CVE.org. «El punto final /api/create acepta un archivo GGUF proporcionado por el atacante en el que el desplazamiento y el tamaño del tensor declarado exceden la longitud real del archivo; durante la cuantificación en fs/ggml/gguf.go y server/quantization.go (WriteTo()), el servidor lee más allá del búfer de montón asignado».
GGUF, abreviatura de formato unificado generado por GPT, es un formato de archivo que se utiliza para almacenar modelos de lenguaje grandes para que puedan cargarse y ejecutarse localmente fácilmente.
El problema, en esencia, surge del uso por parte de Ollama del paquete inseguro al crear un modelo a partir de un archivo GGUF, específicamente en una función llamada «WriteTo()», lo que permite ejecutar operaciones que eluden las garantías de seguridad de la memoria del lenguaje de programación.
En un escenario de ataque hipotético, un mal actor puede enviar un archivo GGUF especialmente diseñado a un servidor Ollama expuesto con la forma del tensor configurada en un número muy grande para activar la lectura del montón fuera de límites durante la creación del modelo usando el punto final /api/create. La explotación exitosa de la vulnerabilidad podría filtrar datos confidenciales de la memoria del proceso Ollama.
Esto puede incluir variables de entorno, claves API, mensajes del sistema y datos de conversaciones de usuarios simultáneos. Estos datos se pueden extraer cargando el artefacto del modelo resultante a través del punto final /api/push en un registro controlado por un atacante.
La cadena de explotación se desarrolla en tres pasos:
- Cargue un archivo GGUF diseñado con una forma de tensor inflado a un servidor Ollama accesible en red mediante una solicitud HTTP POST.
- Utilice el punto final /api/create para activar la creación del modelo, lo que activa la vulnerabilidad de lectura fuera de límites.
- Utilice el punto final /api/push para extraer datos de la memoria del montón a un servidor externo.
«Un atacante puede aprender básicamente cualquier cosa sobre la organización a partir de la inferencia de la IA: claves API, código propietario, contratos con clientes y mucho más», dijo el investigador de seguridad de Cyera, Dor Attias.
«Además de eso, los ingenieros a menudo conectan Ollama a herramientas como Claude Code. En esos casos, el impacto es aún mayor: todas las salidas de la herramienta fluyen al servidor de Ollama, se guardan en el montón y potencialmente terminan en manos de un atacante».
Se recomienda a los usuarios que apliquen las últimas correcciones, limiten el acceso a la red, auditen las instancias en ejecución para detectar exposición a Internet y las aíslen y protejan detrás de un firewall. También se recomienda implementar un proxy de autenticación o una puerta de enlace API frente a todas las instancias de Ollama, ya que la API REST no proporciona autenticación lista para usar.
Dos fallas no parcheadas en Ollama conducen a una ejecución de código persistente
El desarrollo se produce cuando los investigadores de Striga detallaron dos vulnerabilidades en el mecanismo de actualización de Windows de Ollama que pueden encadenarse a la ejecución de código persistente. Las deficiencias siguen sin corregirse tras la divulgación del 27 de enero de 2026 y se publicaron tras el transcurso de un período de divulgación de 90 días.
Según Bartłomiej «Bartek» Dmitruk, cofundador de Striga, el cliente de escritorio de Windows se inicia automáticamente al iniciar sesión desde la carpeta de inicio de Windows, escucha en 127.0.0(.)1:11434 y periódicamente busca actualizaciones en segundo plano a través del punto final /api/update para ejecutar cualquier actualización pendiente en el siguiente inicio de la aplicación.
Las vulnerabilidades identificadas se relacionan con un recorrido de ruta y una verificación de firma faltante que, cuando se combina con la rutina de inicio de sesión, puede permitir que un atacante con la capacidad de influir en las respuestas de actualización ejecute código arbitrario en cada inicio de sesión. Los defectos se enumeran a continuación:
- CVE-2026-42248 (Puntuación CVSS: 7,7): una vulnerabilidad de verificación de firma faltante que no verifica el binario de actualización antes de la instalación, a diferencia de su versión macOS.
- CVE-2026-42249 (Puntuación CVSS: 7,7): una vulnerabilidad de recorrido de ruta que surge del hecho de que el actualizador de Windows crea la ruta local para el directorio provisional del instalador directamente desde los encabezados de respuesta HTTP sin desinfectarlo.
Para explotar las fallas, el atacante debe tener el control de un servidor de actualización al que pueda acceder el cliente Ollama de la víctima. En tal situación, podría llevar a un escenario en el que se proporcione un ejecutable arbitrario como parte del proceso de actualización y se escriba en la carpeta de inicio de Windows sin generar ningún problema de verificación de firma.
Para poder controlar la respuesta de actualización, un enfoque implica anular OLLAMA_UPDATE_URL para dirigir al cliente a un servidor local en HTTP simple. La cadena de ataque también supone que AutoUpdateEnabled está activado, que es la configuración predeterminada.
Es más, la falta de verificación de integridad puede llevar a la ejecución del código por sí sola sin necesidad de explotar la vulnerabilidad de recorrido de ruta. En este caso, el instalador se coloca en el directorio provisional esperado. Durante el siguiente lanzamiento desde la carpeta Inicio, se invoca el proceso de actualización sin volver a verificar la firma, lo que provoca que se ejecute el código del atacante.
Dicho esto, la ejecución remota del código no es persistente, ya que la siguiente actualización legítima sobrescribe el archivo preparado. Al agregar el recorrido de ruta a la mezcla, un mal actor puede redirigir el ejecutable para que se escriba fuera de la ruta habitual y lograr una ejecución de código persistente.
Según CERT Polska, que se hizo cargo del proceso de divulgación coordinado, las versiones 0.12.10 a 0.17.5 de Ollama para Windows son vulnerables a estos dos fallos. Mientras tanto, se recomienda a los usuarios desactivar las actualizaciones automáticas y eliminar cualquier acceso directo de Ollama existente en la carpeta Inicio («%APPDATA%MicrosoftWindowsStart MenuProgramsStartup») para deshabilitar la ruta de ejecución silenciosa al iniciar sesión.
«Cualquier instalación de Ollama para Windows que ejecute las versiones 0.12.10 a 0.22.0 es vulnerable», dijo Dmitruk. «El recorrido de la ruta escribe los ejecutables elegidos por el atacante en la carpeta de inicio de Windows. La verificación de la firma faltante los mantiene allí: la limpieza posterior a la escritura que eliminaría los archivos sin firmar en un actualizador en funcionamiento no es operativa en Windows. En el siguiente inicio de sesión, Windows ejecuta lo que quedó».
«La cadena produce una ejecución de código persistente y silenciosa en el nivel de privilegio del usuario que ejecuta Ollama. Las cargas útiles realistas incluyen shells inversos, ladrones de información que filtran secretos del navegador y claves SSH, o droppers que giran hacia mecanismos de persistencia adicionales. Cualquier cosa que se ejecute como el usuario actual. Eliminar el binario eliminado de la carpeta de Inicio finaliza la persistencia, pero los defectos subyacentes permanecen».
