무슨 일이 있었나
hermes-agent의 skill 보기 도구 함수의 경로 순회 결함은 만들어진 'Name' 인수가 의도된 skills 디렉토리를 벗어나 호스트에서 임의의 파일을 읽도록 허용합니다.
왜 중요한가
hermes-agent는 이번 주에 공개된 취약성 클러스터를 경험했습니다. 이는 프레임워크를 실행하는 호스트에서 구성 비밀 또는 자격 증명을 노출할 수 있는 원격으로 트리거 가능한 파일 읽기 원시 요소이지만, 그 영향 범위는 이 단일 프로젝트로 제한됩니다.
공격 경로
tools/skills_tool.py의 skill_view 함수는 Name 인수를 정제하지 않아 원격 공격자가 만들어진 경로 값을 통해 파일시스템을 순회할 수 있습니다. 악용이 공개적으로 공개되었습니다.
영향받는 시스템
NousResearch hermes-agent 2026.5.29.2
완화 방안
hermes-agent 저장소에서 패치된 릴리스를 확인하세요. 업스트림 수정이 대기 중일 때 skill 이름 경로 컴포넌트를 정제하거나 허용 목록화하세요.