취약점  ·  2026-07-05

NousResearch hermes-agent — TUI Gateway shell.exec 보호 메커니즘 실패로 인한 원격 명령 실행

취약점High 영향도GlobalCVE-2026-14625
hermes-agent의 TUI 게이트웨이 서버의 shell.exec 핸들러에서의 보호 메커니즘 실패로 인해 원격에서 셸 명령 실행을 트리거할 수 있으며, 공개 익스플로잇이 이미 존재합니다. 2026년 7월 4일 NVD에 발표, CVSS 6.3 (중간).
hermes-agent는 셸 실행이 핵심 기능인 에이전트 프레임워크입니다. 해당 기능을 제어하는 보호 기능의 우회는 에이전트 게이트웨이를 실행하는 호스트에서 원격 공격자에게 명령 실행 권한을 제공합니다. 이는 이론적인 것이 아닌 공개 익스플로잇을 가진 직접적인 에이전트 실행 공격 클래스입니다.
tui_gateway/server.py의 shell.exec 함수는 보호 메커니즘을 제대로 적용하지 못하여 원격 행위자가 에이전트 게이트웨이에 대한 의도하지 않은 셸 명령 실행을 트리거할 수 있습니다. 익스플로잇이 이미 공개적으로 릴리스된 것으로 보고되었습니다.
NousResearch hermes-agent ≤ 0.15.2
작성 시점에 수정된 버전이 확인되지 않았습니다. NousResearch hermes-agent 저장소에서 패치를 모니터링하고 해결 대기 중인 TUI 게이트웨이의 네트워크 노출을 제한하세요.
SecurityVulnerability.io - CVE-2026-14625Tenable - CVE-2026-14625
라이브 피드에서 보기 AI 보안 및 거버넌스 관련 소식을 더 살펴보세요 — 매일 아침 업데이트.
피드 열기 →