취약점  ·  2026-07-11

Hermes WebUI — 터미널 API를 통한 인증되지 않은 원격 코드 실행 (CVSS 9.8)

취약점High 영향도GlobalCVE-2026-58123
0.51.788 이전의 Hermes WebUI 버전은 임베드된 터미널 API 엔드포인트를 인증 확인 없이 노출하여, 원격 인증되지 않은 공격자가 권한 있는 터미널 기능에 도달하고 서버 프로세스 사용자로 임의의 셸 명령을 실행할 수 있습니다.
같은 주에 공개된 관련 인증 우회 CVE-2026-58122와 결합하면, 이것은 인증되지 않은 원격 공격자에게 노출된 모든 Hermes WebUI 인스턴스에 전체 셸 액세스를 제공합니다 — 자체 호스팅되는 AI 어시스턴트 플랫폼 — 필수 조건 없는 완전한 호스트 손상을 나타냅니다.
임베드된 터미널 API 엔드포인트에 인증되지 않은 HTTP 요청이 임의의 셸 명령을 실행합니다.
Hermes WebUI < 0.51.788
Hermes WebUI ≥0.51.788로 업그레이드합니다.
Mallory.ai
라이브 피드에서 보기 AI 보안 및 거버넌스 관련 소식을 더 살펴보세요 — 매일 아침 업데이트.
피드 열기 →