Kerentanan  ·  2026-07-05

NousResearch hermes-agent — Traversal Jalur dalam Ekstraksi Media Webhook Langsung

KerentananMedium dampakGlobalCVE-2026-14628
Kerentanan path traversal dalam handler ekstraksi media webhook hermes-agent memungkinkan pembacaan file jarak jauh yang tidak diautentikasi melalui permintaan yang dirancang. Dipublikasikan ke NVD 4 Juli 2026, CVSS 5.3 (Medium); exploit publik ada.
Mengekspos file di host yang menjalankan gateway agen ke pembacaan jarak jauh yang tidak diautentikasi, berpotensi termasuk file konfigurasi, kredensial, atau log percakapan yang ditangani oleh agen.
Fungsi extract_media dalam gateway/platforms/base.py gagal untuk membersihkan jalur file yang diturunkan dari input webhook, memungkinkan penyerang jarak jauh yang tidak diautentikasi membaca file di luar direktori yang dimaksudkan melalui Live Webhook Endpoint.
NousResearch hermes-agent ≤ 2026.5.16
Tidak ada versi yang diperbaiki yang dikonfirmasi pada publikasi; vendor dilaporkan tidak responsif terhadap pengungkapan. Batasi eksposur dari live webhook endpoint dan validasi/sandbox jalur file sebagai solusi sementara.
Tenable - CVE-2026-14628CVE.org Record - CVE-2026-14628
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →