CVE-2026-6832Hermes WebUI的/api/session/delete接口存在安全缺陷,允许经过身份验证的攻击者通过操纵session_id参数删除系统上的任意文件。由于系统未对该参数进行严格的路径校验,攻击者可利用绝对路径或路径遍历序列(如../)突破SESSION_DIR限制,进而删除主机上可写的JSON文件。该漏洞对系统的完整性和可用性造成严重影响,CVSS评分为8.1分。
该漏洞的核心在于Hermes WebUI在/api/session/delete端点处理用户输入时存在逻辑缺陷。应用程序直接将HTTP请求中的session_id参数拼接到文件系统路径中,未能有效过滤路径遍历字符(如../)或绝对路径符号(如/)。尽管该端点设计初衷是管理用户会话文件,但由于缺乏基于前缀的路径校验机制,攻击者可以通过精心构造的Payload(例如../../config/settings.json)欺骗服务器遍历出预期的SESSION_DIR目录。攻击者利用低权限账号认证后发送恶意请求,服务器进程可能删除系统关键配置或数据文件,从而导致服务不可用或配置被篡改。