CVE-2026-5757 là một lỗ hổng CVE nghiêm trọng chưa được vá trong Ollama, nền tảng mã nguồn mở dùng để chạy Large Language Models cục bộ trên Windows, macOS và Linux. Lỗ hổng này cho phép kẻ tấn công từ xa chưa xác thực trích xuất dữ liệu nhạy cảm trực tiếp từ heap của máy chủ, làm gia tăng rủi ro bảo mật đối với các triển khai AI nội bộ.
Lỗ hổng CVE trong Ollama và phạm vi ảnh hưởng
Ollama được thiết kế để hỗ trợ chạy các mô hình AI nặng trên phần cứng tiêu chuẩn. Để giảm mức tiêu thụ bộ nhớ và tài nguyên xử lý, nền tảng sử dụng kỹ thuật model quantization. Chính cơ chế này là điểm liên quan trực tiếp đến lỗ hổng CVE được theo dõi dưới mã CVE-2026-5757.
Theo mô tả kỹ thuật, lỗi nằm trong cách xử lý file upload của engine quantization. Kẻ tấn công có thể lợi dụng metadata được nhúng trong file mô hình để kích hoạt trạng thái lỗi, dẫn đến rò rỉ bộ nhớ. Thông tin chi tiết về mã định danh có thể tham chiếu tại NVD.
Cơ chế khai thác
Chuỗi tấn công bắt đầu khi một tác nhân độc hại tải lên một file GPT-Generated Unified Format (GGUF) được tạo đặc biệt vào giao diện upload mô hình của server mục tiêu. File này kích hoạt đồng thời ba lỗi phần mềm riêng biệt, từ đó làm lộ nội dung bộ nhớ.
Điểm đáng chú ý của lỗ hổng CVE này là không yêu cầu xác thực. Điều đó đồng nghĩa với việc hệ thống có thể bị tấn công từ xa ngay khi dịch vụ upload mô hình được truy cập công khai hoặc được đặt trong mạng nội bộ nhưng không có kiểm soát truy cập chặt chẽ.
Dữ liệu có thể bị lộ từ heap
Heap memory của tiến trình có thể chứa nhiều thành phần nhạy cảm, bao gồm:
- Khóa mã hóa
- Thông tin xác thực người dùng
- API token
- Private user prompts
Khi các dữ liệu này bị rò rỉ, kẻ tấn công có thể mở rộng phạm vi xâm nhập, thực hiện xâm nhập trái phép kéo dài và duy trì hiện diện âm thầm trong môi trường doanh nghiệp. Đây là một dạng rủi ro bảo mật nghiêm trọng vì ảnh hưởng không chỉ dừng ở ứng dụng Ollama mà còn lan sang các dịch vụ và tài nguyên liên quan.
Tình trạng vá lỗi và khuyến nghị ứng phó
Trong quá trình công bố, nhà phát triển không thể được liên hệ nên hiện chưa có bản vá bảo mật chính thức để khắc phục lỗi gốc. Theo khuyến nghị từ CERT/CC, các đội ngũ vận hành cần áp dụng ngay biện pháp phòng thủ tạm thời để bảo vệ hạ tầng.
Trong bối cảnh chưa có update vá lỗi, việc giảm thiểu rủi ro nên tập trung vào kiểm soát bề mặt tấn công của dịch vụ upload, giới hạn quyền truy cập và giám sát bất thường trên hệ thống. Với một lỗ hổng CVE dạng memory leak như CVE-2026-5757, việc phát hiện sớm hoạt động upload bất thường là yếu tố quan trọng để ngăn hệ thống bị tấn công.
Điểm cần kiểm tra trong triển khai Ollama
Để giảm tác động từ lỗ hổng CVE, quản trị viên nên rà soát các thành phần sau:
- Giao diện upload mô hình có đang mở ra ngoài hay không.
- Quyền truy cập vào endpoint tải lên GGUF có được giới hạn theo IP hoặc mạng nội bộ hay không.
- Log hệ thống có xuất hiện file GGUF bất thường hoặc tải lên lặp lại với metadata lỗi hay không.
- Tiến trình Ollama có bị tiêu thụ bộ nhớ bất thường sau khi nhận file upload hay không.
Vì lỗ hổng CVE cho phép đọc dữ liệu trực tiếp từ heap, cần ưu tiên giảm quyền tiếp xúc của dịch vụ với các tài nguyên nhạy cảm. Đây là biện pháp bắt buộc khi chưa có bản vá bảo mật chính thức.
IOC và dấu hiệu nhận biết
Nội dung công bố hiện không cung cấp IOC ở dạng hash, IP, domain hoặc tên miền hạ tầng điều khiển. Do đó, chỉ có thể trích xuất các chỉ dấu kỹ thuật liên quan đến khai thác như sau:
- File GGUF được tạo thủ công với metadata bất thường
- Yêu cầu upload đến giao diện mô hình của Ollama từ nguồn không xác thực
- Hành vi rò rỉ heap sau khi tải lên file mô hình độc hại
- Tiêu thụ bộ nhớ tăng đột biến hoặc phản hồi lỗi bất thường từ dịch vụ
Ý nghĩa bảo mật của CVE-2026-5757
CVE-2026-5757 cho thấy một lỗ hổng CVE trong pipeline xử lý file mô hình có thể dẫn đến rò rỉ dữ liệu nhạy cảm ở cấp bộ nhớ. Trong các môi trường triển khai AI cục bộ, nơi mô hình và prompt thường được xử lý cùng dữ liệu nội bộ, tác động của lỗ hổng CVE này có thể vượt xa phạm vi ứng dụng đơn lẻ.
Do chưa có cập nhật bản vá, các tổ chức cần kiểm soát chặt dịch vụ upload, theo dõi dấu hiệu phát hiện xâm nhập và cô lập các phiên bản Ollama có nguy cơ bị khai thác. Với đặc tính remote và unauthenticated, CVE-2026-5757 cần được đưa vào danh sách ưu tiên xử lý ngay trong quy trình an ninh mạng nội bộ.
