Apa yang terjadi
Cacat path traversal dalam fungsi alat skill-viewing hermes-agent memungkinkan argumen 'Name' yang dirancang untuk meloloskan direktori skills yang dimaksudkan dan membaca file arbitrer pada host.
Mengapa penting
hermes-agent telah memiliki cluster kerentanan yang diungkap minggu ini; ini adalah primitif file-read yang berbeda, dapat dipicu dari jarak jauh yang dapat mengekspos rahasia konfigurasi atau kredensial pada host yang menjalankan framework, meski radius ledaknya tetap terbatas pada proyek tunggal ini.
Vektor serangan
Fungsi skill_view dalam tools/skills_tool.py gagal untuk mensanitasi argumen Name, memungkinkan penyerang jarak jauh untuk melintasi sistem file melalui nilai jalur yang dirancang. Exploit telah diungkap secara publik.
Sistem yang terdampak
NousResearch hermes-agent 2026.5.29.2
Mitigasi
Periksa repositori hermes-agent untuk rilis yang diperbaiki; sanitasi atau allowlist komponen nama skill menunggu perbaikan upstream.