CVE-2026-6832

Name of the Vulnerable Software and Affected Versions Hermes WebUI (versões afetadas não especificadas)

Description Um problema de exclusão arbitrária de arquivos existe no endpoint '/api/session/delete'. Atacantes autenticados podem excluir arquivos fora do diretório de sessão ao fornecer um caminho absoluto ou um payload de path traversal no parâmetro session id. Isso ocorre porque identificadores de sessão não validados permitem a construção de caminhos que ignoram o limite do SESSION DIR, possibilitando a exclusão de arquivos JSON graváveis no sistema host.

Recommendations No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.