Apa yang terjadi
Integrasi Discord dari hermes-agent mengandung cacat autentikasi yang tidak tepat dalam pemeriksaan allow-list-nya, memungkinkan pengguna Discord yang tidak sah melewati pembatasan akses yang dimaksudkan. Dipublikasikan ke NVD 4 Juli 2026, CVSS 5.6 (Medium).
Mengapa penting
Pengguna yang tidak sah apa pun yang dapat berinteraksi dengan agen melewati batas akses yang dimaksudkan oleh operator, berpotensi memicu tindakan agen yang istimewa atau mengakses konteks percakapan yang dimaksudkan untuk dibatasi bagi pengguna yang masuk dalam daftar izin.
Vektor serangan
Fungsi DiscordAdapter._is_allowed_user dalam gateway/platforms/discord.py melakukan autentikasi pemanggil dengan tidak tepat, memungkinkan pengguna yang tidak sah di integrasi platform Discord yang terhubung untuk berinteraksi dengan agen seolah-olah mereka masuk dalam daftar izin.
Sistem yang terdampak
NousResearch hermes-agent ≤ 0.15.2
Mitigasi
Tidak ada versi yang diperbaiki yang dikonfirmasi; batasi/audit allow-list integrasi Discord yang tertunda patch dari NousResearch.