漏洞  ·  2026-07-05

NousResearch hermes-agent — 通过 'todos' 参数的 HTTP API 拒绝服务

漏洞Low 影响GlobalCVE-2026-14626
hermes-agent 的 HTTP API 容易受到通过 'todos' 参数中的精心编制值远程触发的拒绝服务条件。发布于 NVD 2026 年 7 月 4 日,CVSS 4.3(中)。
允许未认证的调用者中断代理的 HTTP API 可用性,影响依赖该代理实例的任何工作流,尽管影响范围仅限于可用性(无数据泄露)。
对 run_agent.py 中 AIAgent.run_conversation 传递的 'todos' 参数的操纵导致拒绝服务条件,可被远程触发。
NousResearch hermes-agent ≤ 2026.4.30
未确认有修补版本;作为变通方案,对 'todos' 参数应用输入大小/类型验证。
NVD - CVE-2026-14626
在实时动态中查看 浏览更多 AI 安全与治理相关发现 — 每日清晨更新。
打开动态 →