【漏洞复现】Ollama路径遍历代码执行漏洞（CVE-2024-37032）

文章预览

一、漏洞 概述 漏洞名称 Ollama路径遍历代码执行漏洞 CVE   ID CVE-2024-37032 漏洞类型 路径遍历、RCE 发现时间 2024-06-25 漏洞评分 9.1 漏洞等级 严重 攻击向量 网络 所需权限 无 利用难度 低 用户交互 无 PoC/EXP 已公开 在野利用 已发现 Ollama是一个功能强大、易于使用且支持多种大型语言模型和机器学习框架的开源框架，它极大地简化了大型语言模型在本地部署和管理的过程，为研究和开发人员提供了极大的便利。 2024年6月25日，启明星辰集团VSRC监测到Ollama路径遍历代码执行漏洞（CVE-2024-37032，被称为Probllama）的技术细节在互联网上公开，该漏洞的CVSSv3评分为9.1，目前PoC已经公开披露。 Ollama 0.1.34之前在获取模型时（通过查询api/pull端点），由于对digest 字段缺乏适当验证，威胁者可提供在digest字段中包含路径遍历payload的恶意清单文件，利用该漏洞实现任 ………………………………