TL;DR

1 29 kwietnia 2026 CERT Polska ujawnił dwie podatności w Ollama — oprogramowaniu do uruchamiania modeli AI lokalnie. 23 Obie luki dotyczą systemu Windows i umożliwiają zdalne wykonanie kodu poprzez zainfekowanie procesu aktualizacji. 4 Podatne są wersje od 0.12.10 do 0.17.5 włącznie. Jeśli używasz Ollama na Windows — zaktualizuj się natychmiast lub wyłącz automatyczne aktualizacje.

Wektor ataku: dwie luki, jeden scenariusz

Ollama to popularne narzędzie wśród deweloperów i firm eksperymentujących z modelami AI (LLM) na własnych maszynach. Na Windows aplikacja ma wbudowany mechanizm automatycznych aktualizacji — i tu pojawia się problem.

CVE-2026-42248: brak weryfikacji pobranych plików

2 Pierwsza podatność polega na braku weryfikacji integralności pobranych plików aktualizacji na Windows. 5 System weryfikacji zawsze zwraca sukces bez sprawdzenia podpisu cyfrowego — innymi słowy, Ollama nigdy nie sprawdza, czy plik aktualizacji pochodzi od twórców, czy od atakującego.

6 Dodatkowo Ollama wykonuje automatyczne aktualizacje bez powiadomienia użytkownika. Zainfekowany plik może zostać zainstalowany w tle, bez Twojej wiedzy.

CVE-2026-42249: path traversal w nagłówkach HTTP

3 Druga podatność to atak path traversal (CWE-22, CWE-494) — 7 podczas pobierania aktualizacji aplikacja konstruuje lokalne ścieżki plików, wykorzystując wartości z nagłówków HTTP bez walidacji. Te wartości trafiają bezpośrednio do filepath.Join, co pozwala na użycie sekwencji ../ do zapisania pliku poza zamierzonym katalogiem.

8 Atakujący może zapisać pliki w katalogu Startup systemu Windows — czyli w miejscu, gdzie Windows automatycznie uruchamia programy przy starcie.

Łańcuch ataku: jak to działa w praktyce

9 Kombinacja obu luk tworzy kompletny scenariusz ataku:

  1. Atakujący przechwytuje lub manipuluje odpowiedzią serwera aktualizacji (np. poprzez MITM, DNS hijacking, lub jeśli serwer aktualizacji jest podatny).
  2. Wysyła złośliwy plik w nagłówkach HTTP, wskazując ścieżkę z ../ — np. ../../AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup/malware.exe.
  3. Ollama pobiera plik, nie weryfikuje jego integralności (CVE-2026-42248) i zapisuje go w katalogu Startup (CVE-2026-42249).
  4. Przy następnym restarcie systemu lub zalogowaniu użytkownika złośliwy kod uruchamia się automatycznie.

Kogo dotyczy

4 Podatne są wersje Ollama od 0.12.10 do 0.17.5 włącznie — wyłącznie na Windows. Jeśli używasz Ollama na macOS lub Linuxie, jesteś bezpieczny.

W Polsce podatność dotyczy przede wszystkim:

  • Deweloperów i analityków danych pracujących z modelami AI lokalnie.
  • Małych i średnich firm (MŚP) eksperymentujących z LLM-ami na własnych maszynach.
  • Firm IT i agencji oferujących usługi AI, które mogą mieć Ollama zainstalowaną na stacjach roboczych klientów.

Wskaźniki kompromitacji

Jeśli podejrzewasz, że Twoja instalacja Ollama została zainfekowana:

— Sprawdź katalog Startup: C:\Users\[username]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
— Szukaj podejrzanych plików .exe, .bat, .ps1 z datą ostatniej modyfikacji zbliżoną do daty ostatniej aktualizacji Ollama.
— Sprawdź logi Ollama: %APPDATA%\Ollama\logs
— Uruchom skanowanie antywirusowe (Windows Defender, Malwarebytes) w trybie bezpiecznym.

Co zrobić w 24–48 godzin

Opcja 1: Zaktualizuj się (REKOMENDOWANE)

Jeśli dostępna jest wersja > 0.17.5, zaktualizuj aplikację do najnowszej. 10 CERT Polska zaznacza, że deweloperzy nie udzielili szczegółów na temat zakresu podatnych wersji ani planów naprawy. Sprawdź oficjalny GitHub Ollama lub stronę projektu.

Opcja 2: Wyłącz automatyczne aktualizacje (TYMCZASOWO)

Jeśli nie możesz się zaktualizować:

  1. Otwórz ustawienia Ollama (jeśli dostępne w GUI) lub edytuj plik konfiguracyjny.
  2. Wyłącz automatyczne aktualizacje (auto_update: false lub podobnie).
  3. Ręcznie sprawdzaj aktualizacje co tydzień na oficjalnej stronie.

Opcja 3: Izoluj maszynę (MAKSYMALNA OSTROŻNOŚĆ)

Jeśli Ollama jest zainstalowana na maszynie z dostępem do sieci korporacyjnej:

  1. Odłącz maszynę od sieci lub umieść ją za firewallem blokującym połączenia wychodzące do nieznanych serwerów.
  2. Uruchom pełne skanowanie antywirusowe.
  3. Rozważ reinstalację systemu operacyjnego, jeśli podejrzewasz kompromitację.

Dla administratorów IT (polskie firmy)

  • Zainwentaryzuj wszystkie maszyny z Ollama na Windows (dev, test, produkcja).
  • Wymuś aktualizację poprzez Group Policy (jeśli możliwe) lub ręczne wdrożenie.
  • Monitoruj katalogi Startup i logi systemowe pod kątem podejrzanych zmian.
  • Rozważ tymczasowe wyłączenie dostępu do internetu dla maszyn z Ollama, dopóki nie będziesz pewny, że są zaktualizowane.

Klasyfikacja podatności

11 CVE-2026-42248 klasyfikowana jest jako CWE-494 (Download of Code Without Integrity Check — pobieranie kodu bez weryfikacji integralności).

12 CVE-2026-42249 to kombinacja CWE-494 i CWE-22 (Path Traversal — przechodzenie poza dozwolony katalog).

Obie podatności mają wysoką powagę — umożliwiają zdalne wykonanie kodu z uprawnieniami bieżącego użytkownika.

Kontekst: dlaczego to się stało

13 Podatności zostały zgłoszone przez Bartłomieja Dmitruka z firmy striga.ai. 14 CERT Polska koordynował proces ujawniania.

10 Deweloperzy Ollama zostali poinformowani, ale nie udzielili szczegółów na temat naprawy ani zakresu podatnych wersji. To może wskazywać na niedofinansowanie projektu, niewystarczającą obsługę bezpieczeństwa, lub niski priorytet dla zespołu. Dla użytkowników to sygnał — jeśli projekt nie reaguje szybko na krytyczne luki, warto rozważyć alternatywy (LM Studio, GPT4All, czy uruchamianie modeli w chmurze).

Podsumowanie

Dwie luki w Ollama na Windows to klasyczny scenariusz: brak weryfikacji + automatyczne wykonanie = zdalne przejęcie maszyny. Jeśli używasz Ollama na Windows — zaktualizuj się dzisiaj. Jeśli nie możesz — wyłącz automatyczne aktualizacje i monitoruj system.

Dla polskich firm MŚP eksperymentujących z AI: to dobry moment, aby przeanalizować, gdzie i jak uruchamiacie modele. Maszyny z Ollama powinny być izolowane od sieci korporacyjnej lub chronione firewallem.

Źródła

Zobacz też

Footnotes

  1. Podatności opublikowane zostały 29 kwietnia 2026 — https://cert.pl/posts/2026/04/CVE-2026-42248/

  2. CVE-2026-42248 dotyczy braku weryfikacji integralności pobranych plików aktualizacji na Windows — https://cert.pl/posts/2026/04/CVE-2026-42248/ 2

  3. CVE-2026-42249 to podatność path traversal w mechanizmie aktualizacji Ollama na Windows — https://cert.pl/posts/2026/04/CVE-2026-42248/ 2

  4. Podatne wersje Ollama to od 0.12.10 do 0.17.5 włącznie — https://cert.pl/posts/2026/04/CVE-2026-42248/ 2

  5. Procedura weryfikacji aktualizacji na Windows w Ollama zawsze zwraca sukces bez sprawdzenia podpisu cyfrowego — https://cert.pl/posts/2026/04/CVE-2026-42248/

  6. Ollama na Windows wykonuje automatyczne aktualizacje bez powiadamiania użytkownika — https://cert.pl/posts/2026/04/CVE-2026-42248/

  7. W CVE-2026-42249 aplikacja konstruuje ścieżki plików z nagłówków HTTP bez walidacji — https://cert.pl/posts/2026/04/CVE-2026-42248/

  8. Atakujący może zapisać pliki w katalogu Startup systemu Windows poprzez CVE-2026-42249https://cert.pl/posts/2026/04/CVE-2026-42248/

  9. Kombinacja CVE-2026-42248 i CVE-2026-42249 umożliwia automatyczne wykonanie złośliwego kodu — https://cert.pl/posts/2026/04/CVE-2026-42248/

  10. Deweloperzy Ollama nie udzielili informacji na temat szczegółów podatności ani zakresu wersji podatnych — https://cert.pl/posts/2026/04/CVE-2026-42248/ 2

  11. CVE-2026-42248 klasyfikowana jest jako CWE-494 (Download of Code Without Integrity Check) — https://cert.pl/posts/2026/04/CVE-2026-42248/

  12. CVE-2026-42249 klasyfikowana jest jako CWE-494 i CWE-22 (Path Traversal) — https://cert.pl/posts/2026/04/CVE-2026-42248/

  13. Podatności zostały zgłoszone przez Bartłomieja Dmitruka z firmy striga.ai — https://cert.pl/posts/2026/04/CVE-2026-42248/

  14. Podatności zostały zgłoszone do CERT Polska — https://cert.pl/posts/2026/04/CVE-2026-42248/