PT-2026-50520 · Nesquena · Hermes-Webui

Publicado

2026-06-17

Atualizado

2026-06-17

CVE-2026-53871

CVSS v3.1

8.1

Alta

Vetor

AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

Hermes WebUI before 0.51.368 contains an authorization bypass vulnerability in the get profile cookie() function that accepts unauthenticated profile names from the hermes profile cookie. An authenticated attacker can forge the hermes profile cookie value to bypass profile-scoped authorization checks and access sessions, files, and resources across different profiles.

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-565

Identificadores relacionados

CVE-2026-53871

Produtos afetados

Hermes-Webui

PT-2026-50520 · Nesquena · Hermes-Webui

CVE-2026-53871

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 5