一、 漏洞 CVE-2025-51471 基础信息
漏洞信息
# N/A
## 概述
在 Ollama 0.6.7 中,存在跨域令牌泄露漏洞,攻击者可通过构造恶意的 `WWW-Authenticate` 响应头中的 `realm` 值,窃取认证令牌并绕过访问控制。
## 影响版本
- Ollama 0.6.7
## 细节
- 漏洞位于 `server.auth.getAuthorizationToken` 函数中。
- `/api/pull` 接口返回的 `WWW-Authenticate` 响应头未正确校验 `realm` 值。
- 攻击者可设置跨域的恶意 `realm` URL,诱导浏览器在认证过程中将敏感令牌发送到攻击者控制的域。
## 影响
- 远程攻击者可窃取用户的认证令牌。
- 攻击者可利用窃取的令牌绕过身份验证和访问控制,访问受保护资源。
神龙判断
是否为 Web 类漏洞: 是
判断理由:
是。这个漏洞存在于Web服务的服务端,具体表现为在Ollama 0.6.7版本的`server.auth.getAuthorizationToken`中,通过在`/api/pull`端点返回的`WWW-Authenticate`头中使用恶意的realm值,远程攻击者可以窃取认证令牌并绕过访问控制。这属于服务端的安全漏洞,因为它涉及到服务器对认证信息的不当处理。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Cross-Domain Token Exposure in server.auth.getAuthorizationToken in Ollama 0.6.7 allows remote attackers to steal authentication tokens and bypass access controls via a malicious realm value in a WWW-Authenticate header returned by the /api/pull endpoint.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Ollama 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Ollama是Ollama开源的一个可以在本地启动并运行的大型语言模型。 Ollama 0.6.7版本存在安全漏洞,该漏洞源于server.auth.getAuthorizationToken存在跨域令牌暴露漏洞,可能导致绕过访问控制。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-51471 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | This PoC is for educational and authorized security testing purposes only. Do NOT use against systems you don't own. | https://github.com/ajtazer/CVE-2025-51471-POC | POC详情 |
三、漏洞 CVE-2025-51471 的情报信息
标题: huntr - The world’s first bug bounty platform for AI/ML -- 🔗来源链接
标签:
神龙速读:### 关键信息 #### 漏洞概述 - **漏洞名称**: Ollama server authentication flow is vulnerable to token stealing in ollama/ollama - **严重性**: Critical - **漏洞类型**: Access Token Stealing - **受影响组件**: auth/authentication #### 环境 - **Distro Version**: Ubuntu 20.04 LTS - **Additional Environment Details**: docker-compose version 1.29.2, build 5bea4c3 #### 复现步骤 1. 使用提供的Dockerfile和docker-compose.yml文件设置环境。 2. 运行Ollama服务器。 3. 触发漏洞以获取访问令牌。 #### 根本原因分析 - 漏洞的根本原因是`auth/authentication.go`文件中的逻辑错误,导致攻击者可以利用该漏洞获取访问令牌。 #### 推荐措施 - 实施更严格的访问控制策略,防止未经授权的访问。 #### 影响 - 攻击者可以利用此漏洞,导致Access Token Stealing。 #### 发生情况 - 已在特定版本中发现并确认了该漏洞。
标题: GitHub - ollama/ollama: Get up and running with Llama 3.3, DeepSeek-R1, Phi-4, Gemma 3, Mistral Small 3.1 and other large language models. -- 🔗来源链接
标签:
神龙速读:该链接的内容为空,无法处理。
标题: fix: cross-domain authentication token exposure by geckosecurity · Pull Request #10750 · ollama/ollama · GitHub -- 🔗来源链接
标签:
神龙速读:### 关键漏洞信息 #### 漏洞描述 - **问题**: 跨域身份验证令牌暴露。 - **原因**: 当用户从响应401未授权状态的HTTPS服务器拉取模型时,Ollama会跟随WWW-Authenticate头中的realm URL,而不验证它是否与初始请求的域名相同。这允许攻击者将身份验证流程重定向到任何域,包括registry.ollama.ai,并捕获有效的身份验证令牌。 #### 影响 - **能力**: 攻击者可以窃取registry.ollama.ai的身份验证令牌,访问用户有权访问的私有模型,并在受害者身份下推送恶意模型(如果他们有写入权限)。 #### CVSS评分 - **版本**: 3.1 - **分数**: 6.5 (中等) - **向量字符串**: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:L/A:N #### 版本 - **受影响版本**: 0.0.7 #### 修复 - **提交**: e/d1f99 - **标题更改**: 2023年5月17日,由geckosecurity更改为“修复跨域身份验证令牌暴露” #### 相关讨论 - **参与者**: geckosecurity, jmorganc, GoVulnBot, kbsteene, BruceMacD - **优先级**: 正在被优先处理
标题: CVE-2025-51471: Ollama Cross-Domain Authentication Token Exposure - Gecko Security -- 🔗来源链接
标签:
神龙速读:## 关键信息 ### 漏洞描述 - **CVE编号**: CVE-2025-51471 - **漏洞类型**: Ollama Cross-Domain Authentication Token Exposure - **问题**: Ollama的认证流程在模型拉取机制中存在漏洞。当用户从返回401 Unauthorized状态的HTTPS服务器拉取模型时,Ollama会跟随WWW-Authenticate头中的realm URL,而不验证其是否与原始请求的域名相同。这允许攻击者将认证流程重定向到任何域名,包括`registry.ollama.ai`,并捕获有效的认证令牌。 ### 影响 - **窃取认证令牌**: 攻击者可以通过诱骗用户从恶意服务器拉取模型来窃取`registry.ollama.ai`的认证令牌。 - **访问私有模型**: 攻击者可以访问用户在注册表中有权限访问的私有模型。 - **推送恶意模型**: 如果攻击者有写入权限,他们可以以受害者的身份推送恶意模型。 ### 详细信息 - **仓库**: https://github.com/ollama/ollama - **版本**: 0.6.7
- https://nvd.nist.gov/vuln/detail/CVE-2025-51471
四、漏洞 CVE-2025-51471 的评论
暂无评论