Hermes WebUI /api/settings 未授权设置初始密码漏洞修复

漏洞概述 该漏洞涉及Hermes WebUI的 端点，允许未认证的本地客户端通过POST请求设置初始密码，从而绕过本地客户端的本地性检查。这可能导致非本地客户端在WebUI首次启动时设置密码，获取会话并锁定预期的操作员。 影响范围 影响：未认证的本地客户端可以设置WebUI密码，获取会话，并锁定预期的操作员，直到状态被手动重置。 严重性：中等，部署依赖。 修复方案 1. 添加密码设置守卫：在 POST处理程序中，当之前禁用了认证时，添加一个密码设置守卫。 2. 重新使用 辅助函数：用于一致的本地/私有、信任转发头和显式绕过行为。 3. 返回403错误：在保存设置之前，如果公共/非本地首次密码引导程序不允许，则返回403错误。 4. 添加回归测试：覆盖拒绝的公共引导和保留的环回引导路径。 POC代码 修复后的行为 现有认证密码更改：继续使用正常的设置流程。 首次密码设置：在禁用认证时，对非本地客户端进行限制。 首次密码设置：从真正的环回/私有客户端仍然允许。 操作员选择：操作员可以选择使用 进行远程引导。 回归测试：覆盖拒绝的公共引导和保留的环回引导路径。 修复文件 ：添加密码设置守卫。 ：添加回归测试。 修复理由 首次密码创建应被视为引导敏感，而不是普通的未认证设置。重新使用现有的引导门保持实现狭窄并与项目的当前本地/私有设置语义一致。 回归测试 非本地未认证引导：在持久化之前被拒绝。 本地引导：对于正常的首次运行工作流保持功能。 变更类型 安全修复 测试 文档更新 重构，无行为变更 合同路由 接触的合同： 首次运行行为。 证据：使用现有的引导本地性助手、 密码设置路径、聚焦回归测试和现有的密码-环境变量引导网络测试。 合同影响：首次密码设置从非本地客户端现在在禁用认证时被拒绝；本地/私有设置和显式远程选项仍然受支持。 测试计划 聚焦安全回归测试：用于设置/认证加固。 组合密码设置回归测试： 现有引导网络测试： 白名单差异检查： GitHub CI矩阵和浏览器烟雾检查：在PR上。 执行命令 当前PR CI状态 浏览器烟雾：成功 lint：成功 测试（3.11, 0）：成功 测试（3.11, 1）：成功 测试（3.11, 2）：成功 测试（3.12, 0）：成功 测试（3.12, 1）：成功 测试（3.12, 2）：成功 测试（3.13, 0）：成功 测试（3.13, 1）：成功 测试（3.13, 2）：成功 风险/后续 更改：故意阻止非本地首次密码设置。依赖远程首次设置的运营商应使用 进行引导。 不更改：不更改运营商故意禁用认证后的更广泛的无密码模式。 不添加：不添加新的引导令牌机制；使用项目的现有引导本地性/选项行为进行狭窄修复。 模型使用 AI辅助实现和PR起草：OpenAI gpt-4.5，通过Hermes Agent环境，使用本地git/pytest/GitHub CLI工具进行验证和PR更新。 披露说明 限制：首次密码引导通过 。 不声称：不声称已经启用认证的实例的妥协。 不声称：不声称当WebUI仅通过预期的同主机运营商可访问时的公开暴露。 无生产系统：未测试。 无无关文件：已更改。

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

Hermes WebUI /api/settings 未授权设置初始密码漏洞修复

同源更多文章

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

Hermes WebUI /api/settings 未授权设置初始密码漏洞修复

同源更多文章

目标达成感谢每一位支持者 — 我们达成了 100% 目标！