Katalog CVE

CVE-2026-49955

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.15%

Percentyl 35 - wyżej niż 35% wszystkich znanych CVE

Streszczenie

Hermes WebUI przed wersją 0.51.270 zawiera podatność na wyczerpanie zasobów, która pozwala nieautoryzowanym zdalnym atakującym na degradację dostępności usługi poprzez wielokrotne wywoływanie punktu końcowego opcji klucza dostępu bez zakończenia asercji.

Ocena ryzyka

Atakujący mogą wysyłać nieograniczone żądania POST do punktu końcowego uwierzytelniania, co prowadzi do nieograniczonego wzrostu pliku przechowującego wyzwania oraz nadmiernego obciążenia CPU i I/O dysku.

Rekomendacja

Zaleca się aktualizację Hermes WebUI do wersji 0.51.270 lub nowszej, aby usunąć tę podatność oraz monitorowanie ruchu do punktu końcowego uwierzytelniania w celu wykrycia potencjalnych ataków.

Oryginalny opis (angielski, źródło NVD)

Hermes WebUI before version 0.51.270 contains a resource exhaustion vulnerability that allows unauthenticated remote attackers to degrade service availability by repeatedly calling the passkey options endpoint without completing assertion. Attackers can send unlimited POST requests to the authentication endpoint, causing unbounded growth of the challenge store file and excessive CPU and disk I/O through repeated JSON file rewrites.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS