취약점  ·  2026-07-05

NousResearch hermes-agent — 'todos' Parameter를 통한 HTTP API 서비스 거부

취약점Low 영향도GlobalCVE-2026-14626
hermes-agent의 HTTP API는 'todos' 인수의 세밀하게 제작된 값을 통해 원격으로 트리거 가능한 서비스 거부 조건에 취약합니다. 2026년 7월 4일 NVD에 발표, CVSS 4.3 (중간).
미인증 호출자가 에이전트의 HTTP API 가용성을 방해할 수 있으며, 해당 에이전트 인스턴스에 의존하는 모든 워크플로에 영향을 미치지만, 영향 범위는 가용성으로만 제한되며 데이터 손상은 없습니다.
run_agent.py의 AIAgent.run_conversation에 전달된 'todos' 인수를 조작하면 원격으로 트리거 가능한 서비스 거부 조건이 발생합니다.
NousResearch hermes-agent ≤ 2026.4.30
확인된 패치 버전 없음. 'todos' 매개변수에 입력 크기/유형 검증을 적용하세요.
NVD - CVE-2026-14626
라이브 피드에서 보기 AI 보안 및 거버넌스 관련 소식을 더 살펴보세요 — 매일 아침 업데이트.
피드 열기 →