CVE-2026-55205
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 22 — wyżej niż 22% wszystkich znanych CVE
Streszczenie
Hermes WebUI w wersji przed 0.51.468 zawiera podatność na wyczerpanie zasobów w nieautoryzowanym punkcie końcowym POST /api/onboarding/oauth/start, co pozwala na nieograniczone gromadzenie stanu przepływu w pamięci oraz wątków demona.
Ocena ryzyka
Atakujący mogą wysyłać powtarzające się lub równoległe żądania, co prowadzi do wyczerpania pamięci serwera i zasobów wątków, co może skutkować powtarzającymi się żądaniami kodu urządzenia do dostawców OAuth.
Rekomendacja
Zaleca się aktualizację Hermes WebUI do wersji 0.51.468 lub nowszej, aby zlikwidować tę podatność oraz monitorowanie ruchu do punktu końcowego w celu wykrycia potencjalnych ataków.
Oryginalny opis (angielski, źródło NVD)
Hermes WebUI before 0.51.468 contains a resource exhaustion vulnerability in the unauthenticated POST /api/onboarding/oauth/start endpoint that allows unbounded accumulation of in-memory flow state and daemon threads. Attackers can send repeated or concurrent requests to exhaust server memory and thread resources, potentially triggering repeated outbound device-code requests to upstream OAuth providers.

