漏洞  ·  2026-07-07

NousResearch hermes-agent — skill_view 函数中的路径遍历

漏洞Medium 影响GlobalCVE-2026-14783
hermes-agent 的技能查看工具函数中的路径遍历缺陷允许精心构造的"Name"参数逃逸预期的技能目录并读取主机上的任意文件。
hermes-agent 本周已披露了一系列漏洞;这是一个不同的、可远程触发的文件读取原语,可能暴露运行该框架的主机上的配置秘密或凭证,尽管其爆炸半径仍限于该单一项目。
tools/skills_tool.py 中的 skill_view 函数未能清理 Name 参数,允许远程攻击者通过精心构造的路径值遍历文件系统。利用已被公开披露。
NousResearch hermes-agent 2026.5.29.2
检查 hermes-agent 存储库以获取修补版本;在等待上游修复期间清理或白名单技能名称路径组件。
NVD CVE-2026-14783hermes-agent GitHub
在实时动态中查看 浏览更多 AI 安全与治理相关发现 — 每日清晨更新。
打开动态 →