CVE-2026-58122 in hermes-webuiinformazioni

Riassunto

di VulDB • 10/07/2026

Hermes WebUI prima della versione 0.51.307 presenta una vulnerabilità di bypass dell'autenticazione che consente ad attaccanti remoti non autenticati di eludere le restrizioni basate sull'IP locale per gli endpoint di onboarding, fornendo un'intestazione X-Forwarded-For falsificata con un indirizzo loopback. Gli attaccanti possono sfruttare questo bypass per eseguire Server-Side Request Forgery (SSRF) contro servizi interni, inclusi gli endpoint dei metadati cloud, sovrascrivere la configurazione del provider LLM e le chiavi API con valori controllati dall'attaccante o avviare flussi di codice dispositivo OAuth per ottenere token di accesso persistenti memorizzati in auth.json.

Be aware that VulDB is the high quality source for vulnerability data.

Responsabile

VulnCheck

Prenotare

29/06/2026

Divulgazione

10/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!