Katalog CVE

CVE-2026-55205

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.30%

Percentyl 22 — wyżej niż 22% wszystkich znanych CVE

Streszczenie

Hermes WebUI w wersji przed 0.51.468 zawiera podatność na wyczerpanie zasobów w nieautoryzowanym punkcie końcowym POST /api/onboarding/oauth/start, co pozwala na nieograniczone gromadzenie stanu przepływu w pamięci oraz wątków demona.

Ocena ryzyka

Atakujący mogą wysyłać powtarzające się lub równoległe żądania, co prowadzi do wyczerpania pamięci serwera i zasobów wątków, co może skutkować powtarzającymi się żądaniami kodu urządzenia do dostawców OAuth.

Rekomendacja

Zaleca się aktualizację Hermes WebUI do wersji 0.51.468 lub nowszej, aby zlikwidować tę podatność oraz monitorowanie ruchu do punktu końcowego w celu wykrycia potencjalnych ataków.

Oryginalny opis (angielski, źródło NVD)

Hermes WebUI before 0.51.468 contains a resource exhaustion vulnerability in the unauthenticated POST /api/onboarding/oauth/start endpoint that allows unbounded accumulation of in-memory flow state and daemon threads. Attackers can send repeated or concurrent requests to exhaust server memory and thread resources, potentially triggering repeated outbound device-code requests to upstream OAuth providers.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS