CVE-2026-7482는 로컬 LLM 실행 플랫폼인 Ollama의 GGUF 모델 로더에서 발견된 힙 영역 범위 초과 읽기(Heap Out-of-Bounds Read) 취약점으로, CVSS 9.1(Critical) 등급을 받았으며 "Bleeding Llama"라는 이름으로 명명됐습니다. 공격자는 조작된 GGUF 파일 하나로 인증 없이 Ollama 서버의 전체 프로세스 메모리(API키, 환경 변수, 사용자 대화 데이터 등)를 탈취할 수 있으며, 유출되는 데이터에는 사용자 프롬프트, 시스템 프롬프트, 환경 변수 등이 포함됩니다.
취약점의 핵심은 /api/create 엔드포인트가 텐서 오프셋과 크기가 파일 실제 길이를 초과하는 GGUF 파일을 검증 없이 수용하는 데 있습니다. /api/create와 /api/push 엔드포인트는 업스트림 배포판에 인증이 없으며, 공개 인터넷에서 약 300,000개의 서버가 노출된 것으로 관측되었습니다.
| 취약점 | |
|---|---|
| 취약점 공개일 | 2026년 5월 1일 |
| 취약점 점수 | CVSS v3: 9.1 (Critical) / CVSS v2: 9.4 (High) |
| 설명 | Ollama GGUF 모델 로더의 힙 범위 초과 읽기로 인한 프로세스 메모리 전체 누출 |
| 취약점 영향 제품 | Ollama 0.17.1 미만 전 버전 |
| 악용 사례 | 인증 없이 3개의 API 호출만으로 힙 메모리 전체 탈취 및 공격자 서버로 외부 전송 가능 |
| 날짜 | 이벤트 |
|---|---|
| 📍 2026-02-02 | Cyera Research, Ollama에 취약점 최초 보고 |
| 📍 2026-02-25 | Ollama가 취약점 인정 및 PR(패치 초안) 공유 |
| 📍 2026-03-02 | 연구자, MITRE에 CVE 번호 발급 요청 제출 |
| 📍 2026-04-26 | MITRE 무응답으로 제3자 CVE 기관(Echo)에 번호 발급 요청 |
| 📍 2026-04-28 | Echo, CVE-2026-7482 공식 할당 |
| 📍 2026-05-01 | CVE 공개 |
| 📍 2026-05-02 | Cyera Research 블로그 공개 및 패치 버전(v0.17.1) 릴리즈 |
공격은 단 3단계의 API 호출로 이루어집니다. 먼저 텐서 shape을 실제보다 수백만 배 크게 설정한 조작된 GGUF 파일을 서버에 업로드하고, /api/create를 통해 모델 생성을 요청해 힙 범위 초과 읽기를 유발합니다. 이후 /api/push 엔드포인트를 통해 유출된 힙 데이터가 포함된 모델 파일을 공격자가 제어하는 외부 서버로 전송합니다.
탐지 포인트
/api/create 요청 중 매우 큰 텐서 shape 값이 포함된 비정상 GGUF 파일 업로드 시도/api/push 요청의 대상이 외부 도메인(공식 Ollama 레지스트리 외) 인 경우