漏洞  ·  2026-07-11

Hermes WebUI — 通过终端API的未认证远程代码执行(CVSS 9.8)

漏洞High 影响GlobalCVE-2026-58123
0.51.788之前的Hermes WebUI版本暴露了嵌入式终端API端点而无任何认证检查,允许远程未认证攻击者到达特权终端功能并以服务器进程用户身份执行任意shell命令。
结合同周披露的相关认证绕过CVE-2026-58122,这给予未认证的远程攻击者对任何暴露的Hermes WebUI实例的完整shell访问权限——自托管AI助手平台——代表完整主机compromise且无任何前提条件。
对嵌入式终端API端点的未认证HTTP请求执行任意shell命令
Hermes WebUI < 0.51.788
升级到Hermes WebUI ≥0.51.788
Mallory.ai
在实时动态中查看 浏览更多 AI 安全与治理相关发现 — 每日清晨更新。
打开动态 →