CVE-2026-53870
ŚrednieCVSS 5.5Streszczenie
Hermes Agent w wersjach przed 0.16.0 tworzy pliki response_store.db oraz webhook_subscriptions.json z uprawnieniami do odczytu dla wszystkich użytkowników, co naraża historię rozmów oraz sekrety HMAC na dostęp lokalnych użytkowników.
Ocena ryzyka
Atakujący z dostępem do systemu plików mogą bezpośrednio odczytać te pliki, uzyskując wrażliwe dane, co może prowadzić do poważnych naruszeń prywatności i bezpieczeństwa.
Rekomendacja
Zaleca się aktualizację Hermes Agent do wersji 0.16.0 lub nowszej, aby usunąć niebezpieczne uprawnienia do plików.
Oryginalny opis (angielski, źródło NVD)
Hermes Agent before 0.16.0 creates response_store.db and webhook_subscriptions.json with world-readable permissions (mode 0o644), exposing conversation history and HMAC secrets to local users. Attackers with local filesystem access can read these files directly to obtain sensitive data including conversation history, tool payloads, prompts, and per-route HMAC secrets.

