文章总结： 国家信息安全漏洞库通报Ollama存在堆越界读取漏洞CNNVD-202605-502，影响0.17.1之前版本，攻击者可窃取环境变量、API密钥及对话数据。官方已发布v0.17.1修复版本，建议用户立即升级。 综合评分： 85 文章分类： 漏洞预警,漏洞分析,AI安全,数据安全,云安全

人工智能重要安全漏洞通报Ollama安全漏洞

原创

CNNVD CNNVD

CNNVD安全动态

2026年5月6日 18:25 北京

在小说阅读器读本章

去阅读

点击蓝字 关注我们

漏洞情况

近日，国家信息安全漏洞库（CNNVD）收到关于Ollama安全漏洞（CNNVD-202605-502、CVE-2026-7482）情况的报送。攻击者通过漏洞可获取环境变量、API密钥、系统提示和并发用户的对话数据。Ollama 0.17.1之前版本均受此漏洞影响。目前，Ollama官方已发布新版本修复了该漏洞，建议用户及时确认产品版本，尽快采取修补措施。

一 漏洞介绍

Ollama是一个开源的跨平台大模型工具。该漏洞源于GGUF模型加载器中堆越界读取，可能导致服务器读取超出分配的堆缓冲区内存，攻击者通过漏洞可获取环境变量、API密钥、系统提示和并发用户的对话数据。

二 危害影响

Ollama 0.17.1之前版本均受此漏洞影响。

三 修复建议

目前，Ollama官方已发布新版本修复了该漏洞，建议用户及时确认产品版本，尽快采取修补措施。官方补丁链接：

https://github.com/ollama/ollama/releases/tag/v0.17.1

本通报由CNNVD技术支撑单位——奇安信网神信息技术（北京）股份有限公司、北方实验室（沈阳）股份有限公司、中国银联股份有限公司、内蒙古万德系统集成有限责任公司、内蒙古网安信息安全技术有限公司等技术支撑单位提供支持。

CNNVD将继续跟踪上述漏洞的相关情况，及时发布相关信息。如有需要，可与CNNVD联系。联系方式: [email protected]

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：CNNVD安全动态 CNNVD CNNVD《人工智能重要安全漏洞通报Ollama安全漏洞》