1  info:
 2    name: ollama
 3    cve: CVE-2025-63389
 4    summary: Ollama 平台缺少身份验证，导致攻击者可以执行模型管理操作。
 5    details: |
 6      Ollama 平台 v0.12.3 及更早版本中的 API 端点存在一个严重的身份验证绕过漏洞。
 7      该平台暴露了多个 API 端点，而无需身份验证，这使得远程攻击者可以执行未经授权的模型管理操作。
 8    cvss: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N
 9    severity: CRITICAL
10    security_advise: |
11      1. 将 Ollama 升级到 v0.13.5 以上的版本。
12      2. 为所有 API 端点实施健壮的身份验证机制。
13      3. 审查并限制对敏感模型管理操作的访问。
14  rule: version > "0" && version <= "0.13.5"
15  references:
16    - https://nvd.nist.gov/vuln/detail/CVE-2025-63389
17    - https://gist.github.com/Cristliu/48dae561696374744d9fced07a544ecd
18    - https://github.com/ollama/ollama
19    - https://github.com/ollama/ollama/issues