Home Ripetizioni Consulenza Cybersecurity 📖 Libro Contattami
HomeCybersecurity › CVE-2026-58122
CVSS 9.1 — CRITICO

CVE-2026-58122: Vulnerabilità critica di bypass autenticazione

Pubblicato il 2026-07-09 · Fonte: NVD NIST

CVE ID
CVE-2026-58122
CVSS Score
9.1
Vendor
N/A
Prodotti
N/A
Exploit pubblico
Non noto
Sfruttata (CISA)
No
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

Riassunto tecnico

La vulnerabilità CVE-2026-58122 è una critica vulnerabilità di bypass autenticazione che colpisce Hermes WebUI prima della versione 0.51.307. Questa vulnerabilità consente a remoti attaccanti di fornire un'intestazione X-Forwarded-For contraffatta con un indirizzo di loopback per eludere le restrizioni di origine IP locali sugli endpoint di onboarding. Gli attaccanti possono sfruttare questa vulnerabilità per eseguire richieste di forgery sul lato server contro servizi interni, sovrascrivere la configurazione del provider LLM e le chiavi API con valori controllati dall'attaccante o avviare flussi di dispositivo OAuth per ottenere token di accesso persistenti.

Impatto

Un attaccante che sfrutta questa vulnerabilità può eseguire richieste di forgery sul lato server contro servizi interni, inclusi endpoint di metadata cloud, sovrascrivere la configurazione del provider LLM e le chiavi API con valori controllati dall'attaccante o avviare flussi di dispositivo OAuth per ottenere token di accesso persistenti. Ciò potrebbe portare a un accesso non autorizzato ai sistemi e ai dati sensibili.

Sistemi vulnerabili

Vendor: N/A
Prodotti: N/A

Mitigazioni

Per mitigare questa vulnerabilità, si consiglia di aggiornare Hermes WebUI alla versione 0.51.307 o successiva. Inoltre, è importante implementare pratiche di sicurezza generiche come il monitoraggio delle attività di rete, la gestione degli accessi e la protezione dei dati sensibili.

FAQ — Domande frequenti

Cos'è la vulnerabilità CVE-2026-58122?

La vulnerabilità CVE-2026-58122 è una critica vulnerabilità di bypass autenticazione che colpisce Hermes WebUI prima della versione 0.51.307.

Come può essere sfruttata questa vulnerabilità?

Gli attaccanti possono sfruttare questa vulnerabilità fornendo un'intestazione X-Forwarded-For contraffatta con un indirizzo di loopback per eludere le restrizioni di origine IP locali sugli endpoint di onboarding.

Come proteggersi da CVE-2026-58122?

Per proteggersi da questa vulnerabilità, si consiglia di aggiornare Hermes WebUI alla versione 0.51.307 o successiva e implementare pratiche di sicurezza generiche come il monitoraggio delle attività di rete e la gestione degli accessi.

Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.