内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的POC信息及POC对应脚本而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担!
Ollama存在未授权访问漏洞。由于Ollama默认未设置身份验证和访问控制功能,未经授权的攻击者可在远程条件下调用Ollama服务接口,执行包括但不限于敏感模型资产窃取、虚假信息投喂、模型计算资源滥用和拒绝服务、系统配置篡改和扩大利用等恶意操作。未设置身份验证和访问控制功能且暴露在公共互联网上的Ollama易受此漏洞攻击影响。
app="Ollama"
nuclei
afrog
xray
1、关闭互联网暴露面或接口设置访问权限
2、请使用Ollama部署大模型的单位和用户立即采取以下措施进行漏洞修复:
1.若Ollama只对本地提供服务,建议设置环境变量Environment="OLLAMA_HOST=127.0.0.1",仅允许本地访问。
2. 若Ollama对外提供服务,建议选择以下方法添加认证机制:
(1)修改config.yaml、settings.json配置文件限定可调用Ollama服务的IP地址;
(2)在防火墙等设备部署IP白名单,严格限定访问IP地址;
(3)通过反向代理实现身份验证和授权(如使用OAuth2.0协议),防止未经授权用户访问。
【Nday漏洞实战圈】🛠️
专注公开1day/Nday漏洞复现 · 工具链适配支持
✧━━━━━━━━━━━━━━━━✧
🔍 资源内容
▫️ 整合全网公开Nday漏洞POC详情
▫️ 适配Xray/Afrog/Nuclei检测脚本
▫️ 支持内置与自定义POC目录混合扫描
🔄 更新计划
▫️ 每周新增7-10个实用POC(来源公开平台)
▫️ 所有脚本经过基础测试,降低调试成本
🎯 适用场景
▫️ 企业漏洞自查 ▫️ 渗透测试 ▫️ 红蓝对抗 ▫️ 安全运维
✧━━━━━━━━━━━━━━━━✧
⚠️ 声明:仅限合法授权测试,严禁违规使用!
原文始发于微信公众号(Nday Poc):OLLAMA 未授权访问(CNVD-2025-04094)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论