脆弱性  ·  2026-07-07

NousResearch hermes-agent — skill_view 関数でのパストラバーサル

脆弱性Medium 影響度GlobalCVE-2026-14783
hermes-agent の skill-viewing ツール関数内のパストラバーサル欠陥により、crafted 'Name' 引数が意図したスキルディレクトリをエスケープし、ホスト上の任意のファイルを読み取ることができます。
hermes-agent はこの週に開示された脆弱性のクラスターを持ってきました。これは、フレームワークを実行しているホスト上の設定シークレットまたはクレデンシャルを公開する可能性がある、明確にリモート トリガー可能なファイル読み取りプリミティブです。その爆発範囲は、このシングルプロジェクトに制限されたままですが。
tools/skills_tool.py の skill_view 関数は Name 引数をサニタイズしないため、リモート攻撃者は crafted パス値を通じてファイルシステムをトラバーサルできます。エクスプロイトが公開されました。
NousResearch hermes-agent 2026.5.29.2
hermes-agent リポジトリをチェックしてパッチされたリリースを探してください。アップストリーム修正待機中に、スキル名パスコンポーネントをサニタイズまたはアロウリストしてください。
NVD CVE-2026-14783hermes-agent GitHub
ライブフィードで見る AIセキュリティとガバナンスの関連情報をさらに見る — 毎朝更新。
フィードを開く →