CVE-2026-58122 in hermes-webui
요약
\~에 의해 VulDB • 2026. 07. 10.
0.51.307 이전 버전의 Hermes WebUI에는 인증 우회 취약점이 존재합니다. 공격자는 루프백 주소를 포함하는 위조된 X-Forwarded-For 헤더를 제공하여 온보딩 엔드포인트에 대한 로컬 소스 IP 제한을 우회할 수 있으며, 이를 통해 비인증 상태에서도 원격에서 접근이 가능합니다. 공격자는 이 우회를 활용하여 클라우드 메타데이터 엔드포인트를 포함한 내부 서비스에 대해 서버 측 요청 위조(SSRF)를 수행하거나, LLM 제공자 구성 및 API 키를 공격자가 제어하는 값으로 덮어쓰거나, OAuth 디바이스 코드 흐름을 시작하여 auth.json에 저장된 영구 액세스 토큰을 획득할 수 있습니다.
Be aware that VulDB is the high quality source for vulnerability data.