脆弱性  ·  2026-07-05

NousResearch hermes-agent — HTTP API Denial of Service via 'todos' Parameter

脆弱性Low 影響度GlobalCVE-2026-14626
hermes-agent の HTTP API は、'todos' 引数の細工された値経由でリモートからトリガー可能なサービス拒否条件に対して脆弱です。2026年7月4日に NVD に公開、CVSS 4.3 (中)。
認可されていない呼び出し元がエージェントの HTTP API 可用性を中断し、そのエージェントインスタンスに依存するすべてのワークフローに影響を与えることを可能にします。ただし、爆発半径は可用性に限定されます (データ侵害なし)。
run_agent.py の AIAgent.run_conversation に渡される 'todos' 引数の操作により、サービス拒否条件が発生し、リモートからトリガー可能です。
NousResearch hermes-agent ≤ 2026.4.30
確認されたパッチ版がありません。'todos' パラメータの入力サイズ/タイプ検証を回避策として適用してください。
NVD - CVE-2026-14626
ライブフィードで見る AIセキュリティとガバナンスの関連情報をさらに見る — 毎朝更新。
フィードを開く →