漏洞  ·  2026-07-05

NousResearch hermes-agent — Discord 平台适配器身份验证绕过

漏洞Medium 影响GlobalCVE-2026-14627
hermes-agent 的 Discord 平台集成在其允许列表检查中包含不当身份验证缺陷,允许未授权的 Discord 用户绕过预期的访问限制。发布于 NVD 2026 年 7 月 4 日,CVSS 5.6(中)。
任何能够与代理交互的未授权用户都会绕过运维者的预期访问边界,可能触发特权代理操作或访问意图仅限于允许列表用户的对话上下文。
gateway/platforms/discord.py 中的 DiscordAdapter._is_allowed_user 函数身份验证不当,允许连接的 Discord 平台集成上的未授权用户与代理交互,就像被允许列表包含一样。
NousResearch hermes-agent ≤ 0.15.2
未确认有修复版本;在等待 NousResearch 补丁期间限制/审计 Discord 集成允许列表。
NVD - CVE-2026-14627
在实时动态中查看 浏览更多 AI 安全与治理相关发现 — 每日清晨更新。
打开动态 →