PT-2026-47189 · Nousresearch · Hermes-Agent
Eric-B
·
Publicado
2026-06-07
·
Atualizado
2026-06-08
·
CVE-2026-11461
CVSS v2.0
6.5
Média
| Vetor | AV:N/AC:L/Au:S/C:P/I:P/A:P |
Nome do Software Vulnerável e Versões Afetadas
NousResearch hermes-agent versões anteriores a 0.12.1
Description
Um bypass de autorização existe no endpoint resume. O problema ocorre na função
resolve session by title() localizada no arquivo hermes state.py. Um invasor remoto pode manipular o argumento Title para burlar os mecanismos de autorização.Recommendations
Atualize para uma versão posterior a 0.12.0.
Como medida paliativa temporária, restrinja o acesso ao endpoint resume ou evite usar o argumento
Title nesse endpoint até que a atualização seja aplicada.Exploit
Correção
IDOR
Improper Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Hermes-Agent