CVE-2026-49956
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 9 - wyżej niż 9% wszystkich znanych CVE
Streszczenie
Hermes WebUI przed wersją 0.51.269 zawiera lukę w izolacji profilu, która pozwala uwierzytelnionym użytkownikom na dostęp do danych należących do innych profili. Umożliwia to atakującym wysyłanie zapytań do punktu końcowego wyszukiwania sesji bez filtrowania aktywnego profilu.
Ocena ryzyka
Luka ta może prowadzić do nieautoryzowanego dostępu do wrażliwych danych użytkowników, co stwarza poważne zagrożenie dla prywatności i bezpieczeństwa organizacji.
Rekomendacja
Zaleca się aktualizację Hermes WebUI do wersji 0.51.269 lub nowszej, aby usunąć tę podatność oraz wdrożenie dodatkowych środków zabezpieczających w celu ochrony danych użytkowników.
Oryginalny opis (angielski, źródło NVD)
Hermes WebUI before version 0.51.269 contains a profile isolation bypass vulnerability that allows authenticated users to access data belonging to other profiles by querying the session search endpoint without active-profile filtering. Attackers can send requests to the sessions search handler to retrieve session titles and transcript message content from profiles other than their own active profile.

