Hermes WebUI < 0.51.358 未授权密码接管漏洞 漏洞概述 Hermes WebUI 在版本 0.51.358 之前存在一个不正确的访问控制漏洞,允许未经身份验证的远程攻击者通过提交 参数到设置 API 端点来劫持初始设置,而无需任何网络来源限制。攻击者可以在任何可访问的网络上发送 POST 请求到设置端点,在首次运行设置窗口期间持久化任意密码哈希,获取有效的会话 cookie,并从自己的实例中锁定合法操作员。 影响范围 Hermes WebUI < 0.51.358 修复方案 升级到 Hermes WebUI 版本 0.51.358 或更高版本。 参考链接 Release Notes Researcher Pull Request Maintainer Pull Request Patch Commit 漏洞详情 严重性: 关键 日期: 2026年6月11日 CVE: CVE-2026-49973 CWE: CWE-306 缺少关键功能的身份验证 CVSS: 9.2 CVSS v4 向量: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N 贡献者: Chia Min Jun Lennon