Pesquisadores de cibersegurança descobriram uma vulnerabilidade de segurança crítica no **Ollama** que, se explorada, pode permitir que um atacante remoto e não autenticado vaze toda a memória do processo. Esta falha de leitura fora dos limites (out-of-bounds read), que pode afetar mais de 300.000 servidores globalmente, é rastreada como **CVE-2026-7482** (pontuação CVSS: 9.1) e foi codinomeada **Bleeding Llama** pela **Cyera**. **Ollama** é um popular framework open-source que permite a execução local de modelos de linguagem grandes (LLMs). O projeto ostenta mais de 171.000 estrelas e foi forkado mais de 16.100 vezes no GitHub. "Ollama antes da versão 0.17.1 contém uma vulnerabilidade de leitura fora dos limites do heap no carregador de modelos GGUF", de acordo com a descrição do CVE. "O endpoint `/api/create` aceita um arquivo GGUF fornecido por um atacante, no qual o offset e o tamanho declarados do tensor excedem o comprimento real do arquivo; durante a quantização em `fs/ggml/gguf.go` e `server/quantization.go` (em `WriteTo()`), o servidor lê além do buffer alocado no heap." **GGUF** (GPT-Generated Unified Format) é um formato de arquivo para armazenar modelos de linguagem grandes para carregamento e execução local. A vulnerabilidade decorre do uso do pacote `unsafe` pelo Ollama ao criar um modelo a partir de um arquivo GGUF, especificamente na função `WriteTo()`, contornando as garantias de segurança de memória. ### Cenário de Ataque Um ator malicioso pode enviar um arquivo GGUF manipulado para um servidor Ollama exposto, definindo a forma do tensor para um número extremamente grande para acionar a leitura fora dos limites do heap durante a criação do modelo via endpoint `/api/create`. A exploração bem-sucedida pode vazar dados sensíveis da memória do processo Ollama. Esses dados vazados podem incluir variáveis de ambiente, chaves de API, prompts do sistema e dados de conversação de usuários concorrentes, que podem então ser exfiltrados enviando o artefato do modelo resultante através do endpoint `/api/push` para um registro controlado pelo atacante. A cadeia de exploração envolve as seguintes etapas: * Enviar um arquivo GGUF manipulado com uma forma de tensor inflada para um servidor Ollama acessível pela rede usando uma requisição HTTP POST. * Usar o endpoint `/api/create` para ativar a criação do modelo, acionando a vulnerabilidade de leitura fora dos limites. * Usar o endpoint `/api/push` para exfiltrar dados da memória do heap para um servidor externo. "Um atacante pode aprender basicamente qualquer coisa sobre a organização a partir da sua inferência de IA — chaves de API, código proprietário, contratos de clientes e muito mais", disse Dor Attias, pesquisador de segurança da **Cyera**.  "Além disso, engenheiros frequentemente conectam o Ollama a ferramentas como Claude Code. Nesses casos, o impacto é ainda maior — todas as saídas das ferramentas fluem para o servidor Ollama, são salvas no heap e potencialmente chegam às mãos de um atacante." Os usuários são aconselhados a aplicar as correções mais recentes, limitar o acesso à rede, auditar instâncias em execução quanto à exposição à internet e isolá-las e protegê-las atrás de um firewall. A implantação de um proxy de autenticação ou gateway de API na frente de todas as instâncias do Ollama também é recomendada, pois a API REST carece de autenticação integrada. ### Duas Falhas Não Corrigidas no Ollama Levam à Execução Persistente de Código Pesquisadores da **Striga** detalharam duas vulnerabilidades no mecanismo de atualização do Ollama para Windows que podem ser encadeadas em execução persistente de código. Essas deficiências permanecem não corrigidas após a divulgação em 27 de janeiro de 2026, seguindo um período de divulgação de 90 dias. De acordo com Bartłomiej "Bartek" Dmitruk, cofundador da **Striga**, o cliente desktop do Windows é iniciado automaticamente no login a partir da pasta de Inicialização do Windows, escuta em 127.0.0[.]1:11434 e periodicamente verifica atualizações em segundo plano via endpoint `/api/update` para executar quaisquer atualizações pendentes na próxima inicialização do aplicativo. As vulnerabilidades identificadas estão relacionadas a um traversal de caminho (path traversal) e a uma verificação de assinatura ausente que, quando combinadas com a rotina de inicialização no login, podem permitir que um atacante com a capacidade de influenciar as respostas de atualização execute código arbitrário a cada login. As falhas são listadas abaixo: * **CVE-2026-42248** (pontuação CVSS: 7.7) - Uma vulnerabilidade de verificação de assinatura ausente que não verifica o binário de atualização antes da instalação, ao contrário de sua versão para macOS. * **CVE-2026-42249** (pontuação CVSS: 7.7) - Uma vulnerabilidade de traversal de caminho que decorre do fato de que o atualizador do Windows cria o caminho local para o diretório de staging do instalador diretamente de cabeçalhos de resposta HTTP sem sanitizá-los. Para explorar as falhas, o atacante precisa controlar um servidor de atualização acessível pelo cliente Ollama da vítima. Isso pode levar a um cenário em que um executável arbitrário é fornecido como parte do processo de atualização e é gravado na pasta de Inicialização do Windows sem gerar problemas de verificação de assinatura. Uma abordagem envolve substituir o `OLLAMA_UPDATE_URL` para apontar o cliente para um servidor local em HTTP simples. A cadeia de ataque também assume que `AutoUpdateEnabled` está ativado, que é a configuração padrão. A verificação de integridade ausente pode levar à execução de código por si só, sem explorar a vulnerabilidade de traversal de caminho. Neste caso, o instalador é baixado para o diretório de staging esperado. Durante a próxima inicialização a partir da pasta de Inicialização, o processo de atualização é invocado sem verificar novamente a assinatura, fazendo com que o código do atacante seja executado. Embora essa execução remota de código não seja persistente, pois a próxima atualização legítima sobrescreve o arquivo em staging, adicionar o traversal de caminho permite que um ator malicioso redirecione o executável para ser gravado fora do caminho usual, alcançando a execução persistente de código. De acordo com o **CERT Polska**, que assumiu o processo de divulgação coordenada, o Ollama para Windows nas versões 0.12.10 a 0.17.5 são vulneráveis às duas falhas. Enquanto isso, os usuários são recomendados a desativar as atualizações automáticas e remover qualquer atalho existente do Ollama da pasta de Inicialização ("%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup") para desativar o caminho de execução silenciosa no login. "Qualquer instalação do Ollama para Windows executando a versão 0.12.10 a 0.22.0 é vulnerável", disse Dmitruk. "O traversal de caminho grava executáveis escolhidos pelo atacante na pasta de Inicialização do Windows. A verificação de assinatura ausente os mantém lá: a limpeza pós-escrita que removeria arquivos não assinados em um atualizador funcional é um 'no-op' no Windows. No próximo login, o Windows executa o que quer que tenha ficado para trás." "A cadeia produz execução de código persistente e silenciosa no nível de privilégio do usuário que executa o Ollama. Cargas úteis realistas incluem shells reversos, ladrões de informações que exfiltram segredos do navegador e chaves SSH, ou droppers que pivotam para mecanismos de persistência adicionais. Qualquer coisa que seja executada como o usuário atual. Remover o binário baixado da pasta de Inicialização encerra a persistência, mas as falhas subjacentes permanecem."