Kerentanan  ·  2026-07-05

NousResearch hermes-agent — Bypass Filter Tag Reasoning Streaming Peka Huruf Besar-Kecil (Pengungkapan Informasi)

KerentananLow dampakGlobalCVE-2026-14617
Cacat peka huruf besar-kecil dalam filter tag reasoning streaming hermes-agent membiarkan varian huruf besar-kecil yang dirancang melewati filter, mengekspos konten yang seharusnya telah diedit ulang dari aliran. Dipublikasikan ke NVD 3 Juli 2026, CVSS 3.1 (Low); kompleksitas serangan tinggi.
Dapat membocorkan konten reasoning/chain-of-thought internal yang dimaksudkan oleh operator untuk disembunyikan dari pengguna akhir, risiko pengungkapan informasi yang sempit namun nyata dalam pipeline streaming yang bersifat agentic.
GatewayStreamConsumer._filter_and_accumulate dalam gateway/stream_consumer.py menangani peka huruf besar-kecil dengan tidak tepat saat memfilter tag reasoning streaming, memungkinkan penyerang melewati filter menggunakan tag huruf besar-kecil campuran dan membocorkan konten yang dimaksudkan untuk disembunyikan (misalnya, token chain-of-thought/reasoning tersembunyi).
NousResearch hermes-agent ≤ 2026.4.30
Vendor telah mengevaluasi cacat tersebut tetapi menolak perbaikan khusus karena biaya pemeliharaan; operator tidak boleh mengandalkan filter ini saja untuk menjaga token reasoning tetap rahasia.
SecurityVulnerability.io - CVE-2026-14617NVD - CVE-2026-14617
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →