Apa yang terjadi
HTTP API hermes-agent rentan terhadap kondisi penolakan layanan yang dapat dipicu jarak jauh melalui nilai yang dirancang dalam argumen 'todos'. Dipublikasikan ke NVD 4 Juli 2026, CVSS 4.3 (Medium).
Mengapa penting
Memungkinkan pemanggil yang tidak diautentikasi untuk mengganggu ketersediaan HTTP API agen, berdampak pada alur kerja apa pun yang bergantung pada instans agen tersebut, meskipun jangkauan ledakan terbatas pada ketersediaan (tanpa kompromi data).
Vektor serangan
Manipulasi argumen 'todos' yang diteruskan ke AIAgent.run_conversation dalam run_agent.py menyebabkan kondisi penolakan layanan, dapat dipicu jarak jauh.
Sistem yang terdampak
NousResearch hermes-agent ≤ 2026.4.30
Mitigasi
Tidak ada versi yang diperbaiki yang dikonfirmasi; terapkan validasi ukuran/tipe input pada parameter 'todos' sebagai solusi sementara.