Kerentanan  ·  2026-07-05

NousResearch hermes-agent — Kegagalan Mekanisme Perlindungan Gateway TUI shell.exec Memungkinkan Eksekusi Perintah Jarak Jauh

KerentananHigh dampakGlobalCVE-2026-14625
Kegagalan mekanisme perlindungan dalam handler shell.exec dari server gateway TUI hermes-agent memungkinkan pemicu jarak jauh dari eksekusi perintah shell, dengan exploit publik yang sudah tersedia. Dipublikasikan ke NVD 4 Juli 2026, CVSS 6.3 (Medium).
hermes-agent adalah kerangka kerja agen di mana eksekusi shell adalah kemampuan inti; bypass dari perlindungan yang menggating kemampuan tersebut secara efektif memberikan eksekusi perintah jarak jauh kepada penyerang di host yang menjalankan gateway agen — kelas serangan eksekusi agen langsung dengan exploit publik, bukan sekadar teoretis.
Fungsi shell.exec dalam tui_gateway/server.py gagal untuk menegakan mekanisme perlindungannya dengan benar, memungkinkan aktor jarak jauh memicu eksekusi perintah shell yang tidak dimaksudkan terhadap gateway agen. Exploit telah dilaporkan telah dirilis ke publik.
NousResearch hermes-agent ≤ 0.15.2
Tidak ada versi yang diperbaiki yang dikonfirmasi pada saat penulisan; pantau repositori NousResearch hermes-agent untuk patch dan batasi eksposur jaringan dari gateway TUI yang tertunda remediasi.
SecurityVulnerability.io - CVE-2026-14625Tenable - CVE-2026-14625
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →