CVE-2026-55197

Nome do Software Vulnerável e Versões Afetadas Hermes WebUI versões anteriores a 0.51.443

Descrição Um controle de acesso quebrado no endpoint '/api/session' permite que usuários autenticados divulguem transcrições de sessões de diferentes perfis. Ao consultar diretamente IDs de sessão pertencentes a outros perfis usando a requisição GET '/api/session?session id=&messages=1', invasores podem ignorar as verificações de limite de perfil para recuperar transcrições de conversas e metadados não autorizados através da variável session id.

Recomendações Atualize para a versão 0.51.443 ou posterior. Como medida paliativa temporária, restrinja o acesso ao endpoint '/api/session' para minimizar o risco de divulgação não autorizada de dados.