Katalog CVE

CVE-2026-49956

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.03%

Percentyl 9 - wyżej niż 9% wszystkich znanych CVE

Streszczenie

Hermes WebUI przed wersją 0.51.269 zawiera lukę w izolacji profilu, która pozwala uwierzytelnionym użytkownikom na dostęp do danych należących do innych profili. Umożliwia to atakującym wysyłanie zapytań do punktu końcowego wyszukiwania sesji bez filtrowania aktywnego profilu.

Ocena ryzyka

Luka ta może prowadzić do nieautoryzowanego dostępu do wrażliwych danych użytkowników, co stwarza poważne zagrożenie dla prywatności i bezpieczeństwa organizacji.

Rekomendacja

Zaleca się aktualizację Hermes WebUI do wersji 0.51.269 lub nowszej, aby usunąć tę podatność oraz wdrożenie dodatkowych środków zabezpieczających w celu ochrony danych użytkowników.

Oryginalny opis (angielski, źródło NVD)

Hermes WebUI before version 0.51.269 contains a profile isolation bypass vulnerability that allows authenticated users to access data belonging to other profiles by querying the session search endpoint without active-profile filtering. Attackers can send requests to the sessions search handler to retrieve session titles and transcript message content from profiles other than their own active profile.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS