Kerentanan  ·  2026-07-07

NousResearch hermes-agent — Path Traversal dalam Fungsi skill_view

KerentananMedium dampakGlobalCVE-2026-14783
Cacat path traversal dalam fungsi alat skill-viewing hermes-agent memungkinkan argumen 'Name' yang dirancang untuk meloloskan direktori skills yang dimaksudkan dan membaca file arbitrer pada host.
hermes-agent telah memiliki cluster kerentanan yang diungkap minggu ini; ini adalah primitif file-read yang berbeda, dapat dipicu dari jarak jauh yang dapat mengekspos rahasia konfigurasi atau kredensial pada host yang menjalankan framework, meski radius ledaknya tetap terbatas pada proyek tunggal ini.
Fungsi skill_view dalam tools/skills_tool.py gagal untuk mensanitasi argumen Name, memungkinkan penyerang jarak jauh untuk melintasi sistem file melalui nilai jalur yang dirancang. Exploit telah diungkap secara publik.
NousResearch hermes-agent 2026.5.29.2
Periksa repositori hermes-agent untuk rilis yang diperbaiki; sanitasi atau allowlist komponen nama skill menunggu perbaikan upstream.
NVD CVE-2026-14783hermes-agent GitHub
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →