Ricercatori di sicurezza informatica hanno scoperto una vulnerabilità critica in Ollama che permette a un attaccante remoto non autenticato di esfiltrare l’intera memoria del processo. E no, non è uno di quei bug teorici che nessuno sfrutta mai.
Bleeding Llama: quando il tuo LLM locale perde sangue (e dati)
La flaw, battezzata Bleeding Llama (CVE-2026-7482, CVSS 9.1), colpisce potenzialmente oltre 300.000 server Ollama in giro per il mondo. Ollama, per chi non lo conoscesse, è quel framework open-source che vi permette di far girare LLM sul vostro laptop invece che pagare API cloud – ha 171.000 stelle su GitHub, quindi sì, è popolare.
Il problema? Un out-of-bounds read nel loader dei file GGUF. Tradotto: mandate un file GGUF malevolo all’endpoint /api/create, dichiarate dimensioni di tensor completamente inventate, e il server legge allegramente oltre i confini della memoria allocata.
Cosa può finire nelle mani sbagliate
La lista è quella che fa venire i brividi ai CISO:
- Variabili d’ambiente con credenziali
- API keys di servizi esterni
- System prompts (quelli che pensavate fossero segreti)
- Conversazioni di altri utenti che stanno usando il server nello stesso momento
E il bello – si fa per dire – è che potete esfiltrare tutto usando l’endpoint /api/push, mandando il modello “avvelenato” a un registry controllato dall’attaccante. Tre step, nessuna autenticazione richiesta.
Ma aspetta, c’è di più: Ollama su Windows è un disastro persistente
Mentre tutti si occupavano di Bleeding Llama, i ragazzi di Striga hanno trovato due vulnerabilità nel meccanismo di update di Ollama per Windows. Segnalate a gennaio 2026, ancora non patchate dopo 90 giorni. Fantastico.
La combinazione è micidiale:
- CVE-2026-42248: l’updater non verifica la firma degli update binary. Tipo, proprio zero controlli.
- CVE-2026-42249: path traversal che vi permette di scrivere dove vi pare durante l’update.
L’exploit è quasi imbarazzante per quanto è semplice
Controllate il server di update (magari overridando OLLAMA_UPDATE_URL), mandate un eseguibile malevolo come “update”, e grazie al path traversal lo piazzate nella cartella Startup di Windows. Al prossimo login? Esecuzione automatica. Persistente. Silenziosa.
Bartłomiej Dmitruk di Striga lo spiega senza troppi giri di parole: “Il path traversal scrive eseguibili scelti dall’attaccante nella Startup folder. La mancanza di verifica delle firme li lascia lì: il cleanup post-scrittura che dovrebbe rimuovere file non firmati semplicemente non fa nulla su Windows.”
Cosa può fare un attaccante
Reverse shell, info-stealer che rubano credenziali dal browser e chiavi SSH, dropper che installano ulteriori meccanismi di persistenza. Qualsiasi cosa che gira con i privilegi dell’utente che ha lanciato Ollama.
Cosa fare adesso
Per Bleeding Llama:
- Aggiornate a Ollama 0.17.1 o superiore
- Limitate l’accesso di rete ai server Ollama
- Mettete un proxy di autenticazione davanti, perché l’API REST di Ollama non ha auth di default (sì, avete letto bene)
Per le vulnerabilità Windows (versioni 0.12.10-0.22.0):
- Disabilitate gli aggiornamenti automatici
- Rimuovete lo shortcut di Ollama dalla cartella Startup (%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup)
- Incrociate le dita aspettando una patch
Morale della storia: se avete Ollama esposto su internet senza autenticazione, probabilmente qualcuno sta già leggendo roba che non dovrebbe. E se usate la versione Windows, beh… controllate quella Startup folder.
