Kerentanan  ·  2026-07-05

NousResearch hermes-agent — Penolakan Layanan HTTP API melalui Parameter 'todos'

KerentananLow dampakGlobalCVE-2026-14626
HTTP API hermes-agent rentan terhadap kondisi penolakan layanan yang dapat dipicu jarak jauh melalui nilai yang dirancang dalam argumen 'todos'. Dipublikasikan ke NVD 4 Juli 2026, CVSS 4.3 (Medium).
Memungkinkan pemanggil yang tidak diautentikasi untuk mengganggu ketersediaan HTTP API agen, berdampak pada alur kerja apa pun yang bergantung pada instans agen tersebut, meskipun jangkauan ledakan terbatas pada ketersediaan (tanpa kompromi data).
Manipulasi argumen 'todos' yang diteruskan ke AIAgent.run_conversation dalam run_agent.py menyebabkan kondisi penolakan layanan, dapat dipicu jarak jauh.
NousResearch hermes-agent ≤ 2026.4.30
Tidak ada versi yang diperbaiki yang dikonfirmasi; terapkan validasi ukuran/tipe input pada parameter 'todos' sebagai solusi sementara.
NVD - CVE-2026-14626
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →