Katalog CVE

CVE-2026-22677

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.38%

Percentyl 30 - wyżej niż 30% wszystkich znanych CVE

Streszczenie

Hermes WebUI przed wersją 0.51.44 zawiera podatność na przechodzenie po ścieżkach w punkcie końcowym importu sesji. Umożliwia ona uwierzytelnionym atakującym odczyt dowolnych plików poprzez zaimportowanie spreparowanej sesji z nieograniczoną wartością obszaru roboczego.

Ocena ryzyka

Atakujący może uzyskać dostęp do poufnych plików systemowych, konfiguracyjnych lub danych użytkowników, co może prowadzić do wycieku informacji i eskalacji uprawnień.

Rekomendacja

Należy niezwłocznie zaktualizować Hermes WebUI do wersji 0.51.44 lub nowszej. Dodatkowo warto ograniczyć uprawnienia procesu WebUI oraz zastosować mechanizmy walidacji ścieżek.

Oryginalny opis (angielski, źródło NVD)

Hermes WebUI prior to 0.51.44 contains a path traversal vulnerability in the session import endpoint that allows authenticated attackers to read arbitrary files by importing a crafted session with an unrestricted workspace value. Attackers can supply a blocked filesystem root in the workspace field and subsequently use relative paths in the session file API to access any file readable by the WebUI process.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS