Kritična ranjivost u Hermes WebUI omogućava kontrolu bez autentifikacije
Kritična ranjivost u Hermes WebUI verzijama pre 0.51.788 dozvoljavat bezbenosni RCE napad bez autentifikacije (CVSS 9.8).
Šta se desilo?
Otkrivena je kritična ranjivost u Hermes WebUI verzijama starije od 0.51.788 koja omogućava napadačima da izvršavaju proizvoljne komande bez potrebe za prijavom. Napadač može pristupiti API-ju terminala, kreirati sesiju i ispisati bilo koje komande koje će se izvršiti sa dozvolama serverskog procesa. Napad zahteva samo četiri uzastopna HTTP zahteva.
Koga pogađa?
Uglavnom organizacije koje koriste starije verzije Hermes WebUI aplikacije - posebno one koje su ovu web komponentu izložile na internetu bez dodatne zaštite. Primarna rizika grupa su administratori sistema, Cloud provajderi i razvojni timovi koji koriste ovu platformu.
Kako se zaštititi?
- Odmah ažurirajte Hermes WebUI na verziju 0.51.788 ili noviju
- Ograničite mrežni pristup API-ju terminala samo ovlašćenim korisnicima kroz firewall pravila
- Primenite sigurnosnu autentifikaciju na sve API endpointe
- Monitoring obratite na sumnjive HTTP zahteve upućene ka terminal endpointima
- Ako nemate mogućnost trenutnog ažuriranja, onemogućite pristup terminal API-ju dok se zakrpa ne primeni
Tehnički detalji
CVE-2026-58123 je ranjivost sa CVSS skorom 9.8 (KRITIČNO). Napadač može izvršiti Remote Code Execution (RCE) preko unauthenticated HTTP zahteva ka embedded terminal API endpointima. Specifično, napadač kreiraj sesiju, poveže PTY shell i ispiše komande kroz terminal input endpoint. Sve se to dešava bez potrebe za kredencijalom.
Preporuka Sajber Radara
Ova ranjivost predstavlja ozbiljan rizik jer omogućava potpunu kontrolu nad serverom bez autentifikacije. Preporučujemo svim organizacijama da hitno provere da li koriste Hermes WebUI i da odmah primene dostupnu zakrpu, posebno ako je aplikacija dostupna preko interneta.