무슨 일이 있었나
hermes-agent의 HTTP API는 'todos' 인수의 세밀하게 제작된 값을 통해 원격으로 트리거 가능한 서비스 거부 조건에 취약합니다. 2026년 7월 4일 NVD에 발표, CVSS 4.3 (중간).
왜 중요한가
미인증 호출자가 에이전트의 HTTP API 가용성을 방해할 수 있으며, 해당 에이전트 인스턴스에 의존하는 모든 워크플로에 영향을 미치지만, 영향 범위는 가용성으로만 제한되며 데이터 손상은 없습니다.
공격 경로
run_agent.py의 AIAgent.run_conversation에 전달된 'todos' 인수를 조작하면 원격으로 트리거 가능한 서비스 거부 조건이 발생합니다.
영향받는 시스템
NousResearch hermes-agent ≤ 2026.4.30
완화 방안
확인된 패치 버전 없음. 'todos' 매개변수에 입력 크기/유형 검증을 적용하세요.