脆弱性  ·  2026-07-05

NousResearch hermes-agent — Discord Platform Adapter Authentication Bypass

脆弱性Medium 影響度GlobalCVE-2026-14627
hermes-agent の Discord プラットフォーム統合には、アロウリストチェックに不適切な認証の欠陥があり、認可されていない Discord ユーザーが意図されたアクセス制限をバイパスできます。2026年7月4日に NVD に公開、CVSS 5.6 (中)。
エージェントと対話できる認可されていないユーザーは、オペレータが意図したアクセス境界をバイパスし、特権付きエージェントアクションをトリガーするか、アロウリストされたユーザーに限定することを意図された会話コンテキストにアクセスできます。
gateway/platforms/discord.py の DiscordAdapter._is_allowed_user 関数は呼び出し元を不適切に認証し、接続された Discord プラットフォーム統合の認可されていないユーザーがアロウリストされたかのようにエージェントと対話できるようにします。
NousResearch hermes-agent ≤ 0.15.2
確認された修正バージョンがありません。NousResearch からのパッチ保留中に Discord 統合アロウリストを制限/監査してください。
NVD - CVE-2026-14627
ライブフィードで見る AIセキュリティとガバナンスの関連情報をさらに見る — 毎朝更新。
フィードを開く →