【风险提示】 DeepSeek等大模型私有化服务器部署近九成在“裸奔”，已知漏洞赶紧处理！

正文

请到「今天看啥」查看全文

Ollama 模型管理接口 风险

中风险

攻击者可通过未授权访问 Ollama 的模型管理接口，读取、下载或删除私有模型文件。

Ollama 模型推理接口 风险

中风险

攻击者可利用未授权访问的模型推理接口，执行任意 Prompt 指令，滥用模型推理资源。

Ollama 系统配置接口 风险

中风险

攻击者可能通过未授权访问篡改 Ollama 服务参数，影响系统配置。

Ollama 远程代码执行漏洞(CVE-2024-37032)

高危（CVSS评分9.1）

在 Ollama 0.1.34 之前的版本中存在远程代码执行漏洞，攻击者无需身份验证即可通过接口操控服务器，实现任意代码执行。

Ollama 路径遍历漏洞(CVE-2024-45436)

高危（CVSS评分9.1）

在 Ollama 0.1.47 之前的版本中，extractFromZipFile函数在处理ZIP文件解压时，未能正确限制文件路径，导致攻击者可以通过特制的ZIP文件将文件解压到父目录之外。

请到「今天看啥」查看全文