Kerentanan  ·  2026-07-05

NousResearch hermes-agent — Bypass Autentikasi Adapter Platform Discord

KerentananMedium dampakGlobalCVE-2026-14627
Integrasi Discord dari hermes-agent mengandung cacat autentikasi yang tidak tepat dalam pemeriksaan allow-list-nya, memungkinkan pengguna Discord yang tidak sah melewati pembatasan akses yang dimaksudkan. Dipublikasikan ke NVD 4 Juli 2026, CVSS 5.6 (Medium).
Pengguna yang tidak sah apa pun yang dapat berinteraksi dengan agen melewati batas akses yang dimaksudkan oleh operator, berpotensi memicu tindakan agen yang istimewa atau mengakses konteks percakapan yang dimaksudkan untuk dibatasi bagi pengguna yang masuk dalam daftar izin.
Fungsi DiscordAdapter._is_allowed_user dalam gateway/platforms/discord.py melakukan autentikasi pemanggil dengan tidak tepat, memungkinkan pengguna yang tidak sah di integrasi platform Discord yang terhubung untuk berinteraksi dengan agen seolah-olah mereka masuk dalam daftar izin.
NousResearch hermes-agent ≤ 0.15.2
Tidak ada versi yang diperbaiki yang dikonfirmasi; batasi/audit allow-list integrasi Discord yang tertunda patch dari NousResearch.
NVD - CVE-2026-14627
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →