Katalog CVE

CVE-2026-53871

WysokieCVSS 8.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.37%

Percentyl 28 — wyżej niż 28% wszystkich znanych CVE

Streszczenie

Hermes WebUI w wersjach przed 0.51.368 zawiera lukę w autoryzacji w funkcji get_profile_cookie(), która akceptuje nieautoryzowane nazwy profili z ciasteczka hermes_profile. Uwierzytelniony atakujący może sfałszować wartość ciasteczka hermes_profile, aby obejść kontrole autoryzacji oparte na profilach i uzyskać dostęp do sesji, plików oraz zasobów z różnych profili.

Ocena ryzyka

Luka ta może prowadzić do nieautoryzowanego dostępu do wrażliwych danych i zasobów, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.

Rekomendacja

Zaleca się aktualizację Hermes WebUI do wersji 0.51.368 lub nowszej, aby usunąć tę lukę oraz wdrożenie dodatkowych mechanizmów zabezpieczających w celu ochrony przed potencjalnymi atakami.

Oryginalny opis (angielski, źródło NVD)

Hermes WebUI before 0.51.368 contains an authorization bypass vulnerability in the get_profile_cookie() function that accepts unauthenticated profile names from the hermes_profile cookie. An authenticated attacker can forge the hermes_profile cookie value to bypass profile-scoped authorization checks and access sessions, files, and resources across different profiles.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS