Apa yang terjadi
Kegagalan mekanisme perlindungan dalam handler shell.exec dari server gateway TUI hermes-agent memungkinkan pemicu jarak jauh dari eksekusi perintah shell, dengan exploit publik yang sudah tersedia. Dipublikasikan ke NVD 4 Juli 2026, CVSS 6.3 (Medium).
Mengapa penting
hermes-agent adalah kerangka kerja agen di mana eksekusi shell adalah kemampuan inti; bypass dari perlindungan yang menggating kemampuan tersebut secara efektif memberikan eksekusi perintah jarak jauh kepada penyerang di host yang menjalankan gateway agen — kelas serangan eksekusi agen langsung dengan exploit publik, bukan sekadar teoretis.
Vektor serangan
Fungsi shell.exec dalam tui_gateway/server.py gagal untuk menegakan mekanisme perlindungannya dengan benar, memungkinkan aktor jarak jauh memicu eksekusi perintah shell yang tidak dimaksudkan terhadap gateway agen. Exploit telah dilaporkan telah dirilis ke publik.
Sistem yang terdampak
NousResearch hermes-agent ≤ 0.15.2
Mitigasi
Tidak ada versi yang diperbaiki yang dikonfirmasi pada saat penulisan; pantau repositori NousResearch hermes-agent untuk patch dan batasi eksposur jaringan dari gateway TUI yang tertunda remediasi.