Katalog CVE

CVE-2026-49958

ŚrednieCVSS 5.0
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.01%

Percentyl 2 - wyżej niż 2% wszystkich znanych CVE

Streszczenie

W Hermes WebUI przed wersją 0.51.303 występuje podatność typu TOCTOU w funkcji git_discard, która pozwala atakującym na usunięcie plików poza skonfigurowanym obszarem roboczym. Możliwe jest to poprzez zastąpienie zweryfikowanego komponentu ścieżki symlinkiem po walidacji, ale przed usunięciem.

Ocena ryzyka

Podatność ta może prowadzić do nieautoryzowanego usunięcia plików, co stwarza poważne zagrożenie dla integralności danych w organizacji.

Rekomendacja

Zaleca się aktualizację Hermes WebUI do wersji 0.51.303 lub nowszej, aby usunąć tę podatność oraz przegląd zabezpieczeń dotyczących operacji na plikach.

Oryginalny opis (angielski, źródło NVD)

Hermes WebUI before version 0.51.303 contains a time-of-check time-of-use (TOCTOU) race condition vulnerability in the git_discard function within api/workspace_git.py that allows attackers to delete files outside the configured workspace boundary by replacing a validated path component with a symlink after validation but before deletion. Attackers can substitute a workspace-controlled path component with a symlink pointing to an external directory between the safe_resolve_ws() validation step and the subsequent Path.unlink() or shutil.rmtree() deletion call, causing the delete operation to follow the symlink and remove arbitrary files outside the workspace.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS