Описание
Уязвимость системы для запуска и управления большими языковыми моделями (LLM) Ollama связана с ошибками в обработке относительного пути к каталогу. Эксплуатация уязвимости может позволить нарушителю получить доступ к произвольным файлам в уязвимой системе
Вендор
Сообщество свободного программного обеспечения
Наименование ПО
Ollama
Версия ПО
до 0.1.34 (Ollama)
Тип ПО
ПО для разработки ИИ
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,4)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Обновление программного обеспечения до версии 0.1.34:
https://github.com/ollama/ollama/releases/tag/v0.1.34
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 100%
0.93722
Критический
5.4 Medium
CVSS3
6.4 Medium
CVSS2
Связанные уязвимости
CVSS3: 8.8
nvd
больше 1 года назад
Ollama before 0.1.34 does not validate the format of the digest (sha256 with 64 hex digits) when getting the model path, and thus mishandles the TestGetBlobsPath test cases such as fewer than 64 hex digits, more than 64 hex digits, or an initial ../ substring.
CVSS3: 8.8
debian
больше 1 года назад
Ollama before 0.1.34 does not validate the format of the digest (sha25 ...
github
больше 1 года назад
Ollama does not validate the format of the digest (sha256 with 64 hex digits)
EPSS
Процентиль: 100%
0.93722
Критический
5.4 Medium
CVSS3
6.4 Medium
CVSS2