Hermes WebUI < 0.51.303 TOCTOU Race Condition via git_discard 漏洞概述 Hermes WebUI 在版本 0.51.303 之前存在一个时间检查时间使用(TOCTOU)竞争条件漏洞。该漏洞位于 中的 函数内,允许攻击者通过替换已验证的路径组件为指向外部目录的符号链接,在验证后但在删除前,删除工作区边界外的文件。攻击者可以用指向外部目录的符号链接替换工作区控制的路径组件,从而在 验证步骤和随后的 或 删除调用之间,导致删除操作跟随符号链接并删除工作区外的任意文件。 影响范围 Hermes WebUI < 0.51.303 修复方案 升级到 Hermes WebUI 版本 0.51.303 或更高版本。 参考链接 Release Notes Researcher Pull Request Maintainer Pull Request Patch Commit 信用 Chia Min Jun Lennon 其他信息 严重性: 中等 日期: 6/9/2026 CVE: CVE-2026-49958 CWE: CWE-367 Time-of-check Time-of-use (TOCTOU) Race Condition CVSS: 4.3 CVSS V4 Vector: CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:R/VC:N/VI:L/LVA:H/SC:N/SI:N/SA:N