Vulnerability Details CVE-2026-6832
Hermes WebUI contains an arbitrary file deletion vulnerability in the /api/session/delete endpoint that allows authenticated attackers to delete files outside the session directory by supplying an absolute path or path traversal payload in the session_id parameter. Attackers can exploit unvalidated session identifiers to construct paths that bypass the SESSION_DIR boundary and delete writable JSON files on the host system.
Exploit prediction scoring system (EPSS) score
EPSS Score 0.005
EPSS Ranking 37.3%
CVSS Severity
CVSS v3 Score 8.1
References
- https://github.com/nesquena/hermes-webui/commit/3cc5839bf303fa6758bfdac538507407a2929655
- https://github.com/nesquena/hermes-webui/pull/409
- https://github.com/nesquena/hermes-webui/pull/412
- https://github.com/nesquena/hermes-webui/releases/tag/v0.50.132
- https://github.com/nesquena/hermes-webui/releases/tag/v0.50.32
- https://www.vulncheck.com/advisories/nesquena-hermes-webui-arbitrary-file-deletion-via-unvalidated-session-id
Products affected by CVE-2026-6832
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.12
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.16
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.16.1
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.16.2
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.17.1
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.17.2
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.17.3
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.18
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.18.1
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.19
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.20
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.21
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.22
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.23
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.24
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.25
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.26
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.27
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.28
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.28.1
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.29
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.30
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.30.1
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.30.2
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.30.3
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.30.4
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.31
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.31.1
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.31.2
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.32
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.33
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.34
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.34.1
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.34.2
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.34.3
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.35
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.35.1
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.36
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.36.1
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.36.2
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.36.3
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.37.0
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.38.0
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.38.1
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.38.2
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.38.3
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.38.4
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.38.5
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.38.6
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.39.0
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.39.1
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.40.0
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.40.1
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.40.2
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.41.0
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.42.0
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.42.1
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.42.2
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.43.0
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.43.1
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.44.0
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.44.1
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.45.0
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.46.0
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.47.0
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.47.1
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.48.0
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.48.1
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.48.2
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.49.0
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.49.1
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.49.2
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.49.3
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.49.4
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.50.0
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.50.1
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.50.10
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.50.11
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.50.12
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.50.13
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.50.14
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.50.15
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.50.16
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.50.17
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.50.18
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.50.19
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.50.2
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.50.20
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.50.21
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.50.22
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.50.23
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.50.24
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.50.25
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.50.26
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.50.27
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.50.28
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.50.29
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.50.3
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.50.30
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.50.31
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.50.4
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.50.5
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.50.6
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.50.7
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.50.8
-
cpe:2.3:a:get-hermes:hermes_web_ui:0.50.9