何が起きたか
Hermes WebUI 0.51.307 より前のバージョンは、オンボーディング エンドポイントをローカル オリジン IP に制限しますが、クライアント提供の X-Forwarded-For ヘッダーを信頼します。認証されていないリモート攻撃者は、このヘッダーでループバック アドレスをなりすまして制限をバイパスし、内部サービス (クラウド メタデータ エンドポイントを含む) に対して SSRF を実行し、LLM プロバイダー構成および API キーを攻撃者が制御する値で上書きし、OAuth デバイス コード フローを開始して auth.json に保存される永続的なアクセス トークンを取得することができます。
なぜ重要か
自己ホスト型 AI チャット プラットフォームの機密オンボーディング/構成エンドポイント全体の信頼境界は、単一のなりすまし可能な HTTP ヘッダーに縮小され、リモート認証なし攻撃者がクラウド メタデータ SSRF にピボットして LLM プロバイダー構成と保存されたおよび認証情報を盗むことができます。これはデプロイの AI バックエンド信頼チェーン全体の侵害です。
攻撃経路
なりすまされた X-Forwarded-For: 127.0.0.1 ヘッダーを備えたオンボーディング エンドポイントへの認証なしリクエストはローカル オリジン IP 制限をバイパスし、SSRF および構成/API キー上書きを有効にします。
影響を受けるシステム
Hermes WebUI < 0.51.307
緩和策
Hermes WebUI ≥0.51.307 にアップグレードします。認証判定に対してクライアント提供の X-Forwarded-For を信頼しないでください。