つみかさね

CVE-2026-49973

Critical(9.4)

CVE-2026-49973 — Hermes WebUI 未認証パスワード乗っ取り

公開日: 2026-06-14データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Hermes WebUInesquena< 0.51.358

対応ガイド

high|対応必須セキュリティ修正影響: 限定的

推奨アクション

  1. 1Hermes WebUIのバージョンを確認する
  2. 2v0.51.358以降へアップデートする
  3. 3初回セットアップ中はネットワークアクセスを信頼できる範囲に限定する
  4. 4不正なパスワード変更が行われた可能性がある場合はパスワードをリセットする

影響対象

Hermes WebUI利用者

補足

  • -初回セットアップが完了している既存環境でも、アップデートを推奨します
CVEHermesWebUI認証欠如パスワード

概要

LLMフロントエンドツール Hermes WebUI のバージョン0.51.357以前に、初回セットアップ時に設定APIへ認証なしでアクセスできる脆弱性が確認されました。CVSSスコアは9.4(CRITICAL)です。

セットアップウィンドウ中、ネットワーク到達可能な攻撃者が設定APIエンドポイントの _set_password パラメータに任意のパスワードハッシュをPOSTできます。これにより攻撃者はインスタンスのパスワードを乗っ取り、正規オペレーターを締め出すことが可能です。

CVSSベクトル

項目
スコア9.4 (CRITICAL)
攻撃元区分 (AV)ネットワーク (N)
攻撃条件の複雑さ (AC)低 (L)
必要な特権 (PR)不要 (N)
ユーザー操作 (UI)不要 (N)
CWECWE-306(重要機能に対する認証の欠如)

影響を受けるソフトウェア

製品ベンダー影響バージョン
Hermes WebUInesquena0.51.357 以前

初回セットアップ完了後は、設定が確立されているため本脆弱性の悪用リスクは低くなります。ただしアップデートは推奨されます。

修正バージョンと回避策

修正バージョン: v0.51.358

# npm経由の場合
npm install hermes-webui@0.51.358

回避策: 初回セットアップ中はインスタンスを信頼できるネットワーク内に限定し、外部からのアクセスを遮断してください。

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-49973
GitHub Release:https://github.com/nesquena/hermes-webui/releases/tag/v0.51.358
VulnCheck:https://www.vulncheck.com/advisories/hermes-webui-unauthenticated-password-takeover-via-api-settings
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。