Pubblicato il 2026-07-09 · Fonte: NVD NIST
La vulnerabilità CVE-2026-58122 è una critica vulnerabilità di bypass autenticazione che colpisce Hermes WebUI prima della versione 0.51.307. Questa vulnerabilità consente a remoti attaccanti di fornire un'intestazione X-Forwarded-For contraffatta con un indirizzo di loopback per eludere le restrizioni di origine IP locali sugli endpoint di onboarding. Gli attaccanti possono sfruttare questa vulnerabilità per eseguire richieste di forgery sul lato server contro servizi interni, sovrascrivere la configurazione del provider LLM e le chiavi API con valori controllati dall'attaccante o avviare flussi di dispositivo OAuth per ottenere token di accesso persistenti.
Un attaccante che sfrutta questa vulnerabilità può eseguire richieste di forgery sul lato server contro servizi interni, inclusi endpoint di metadata cloud, sovrascrivere la configurazione del provider LLM e le chiavi API con valori controllati dall'attaccante o avviare flussi di dispositivo OAuth per ottenere token di accesso persistenti. Ciò potrebbe portare a un accesso non autorizzato ai sistemi e ai dati sensibili.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, si consiglia di aggiornare Hermes WebUI alla versione 0.51.307 o successiva. Inoltre, è importante implementare pratiche di sicurezza generiche come il monitoraggio delle attività di rete, la gestione degli accessi e la protezione dei dati sensibili.
La vulnerabilità CVE-2026-58122 è una critica vulnerabilità di bypass autenticazione che colpisce Hermes WebUI prima della versione 0.51.307.
Gli attaccanti possono sfruttare questa vulnerabilità fornendo un'intestazione X-Forwarded-For contraffatta con un indirizzo di loopback per eludere le restrizioni di origine IP locali sugli endpoint di onboarding.
Per proteggersi da questa vulnerabilità, si consiglia di aggiornare Hermes WebUI alla versione 0.51.307 o successiva e implementare pratiche di sicurezza generiche come il monitoraggio delle attività di rete e la gestione degli accessi.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.