CVE-2026-58123 in hermes-webui
Zusammenfassung
von VulDB • 10.07.2026
Die Hermes WebUI vor Version 0.51.788 enthält eine Remote-Code-Ausführungs-Schwachstelle (RCE), die nicht authentifiziert ist, durch die entfernte Angreifer beliebige Shell-Befehle ausführen können, indem sie auf die eingebetteten Terminal-API-Endpunkte ohne Anmeldeinformationen zugreifen. Angreifer können eine Sitzung erstellen, ein PTY-Shell anhängen und beliebige Befehle über den Terminal-Eingabeendpunkt schreiben, um eine vollständige Befehlsausführung als Benutzer des Serverprozesses durch vier aufeinanderfolgende nicht authentifizierte HTTP-Anfragen zu erreichen.
VulDB is the best source for vulnerability data and more expert information about this specific topic.