Hermes Agent < 0.16.0 - 敏感文件权限漏洞 漏洞概述 Hermes Agent 在 0.16.0 版本之前, 和 文件以世界可读权限(模式 0o644)创建,导致对话历史和 HMAC 密钥暴露给本地用户。攻击者可以通过本地文件系统访问直接读取这些文件,获取敏感数据,包括对话历史、工具载荷、提示和每个路由的 HMAC 密钥。 影响范围 Hermes Agent < 0.16.0 修复方案 升级到 Hermes Agent 0.16.0 或更高版本。 参考链接 Release Notes Researcher Pull Request Maintainer Pull Request Patch Commit 其他信息 严重性: 中等 日期: 2026年6月17日 CVE: CVE-2026-53870 CWE: CWE-276 Incorrect Default Permissions CVSS: 6.8 CVSS V4 Vector: CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N 贡献者: Chia Min Jun Lennon