📄 Description (English)
Hermes WebUI prior to v0.51.221 contains a path traversal vulnerability that allows attackers to escape the workspace boundary by supplying symlinks that resolve to files or directories outside the designated workspace root. Attackers can exploit the workspace file and listing APIs, which resolve symlink targets without enforcing that the final path remains within the workspace, to read external host files accessible to the server process and disclose sensitive data such as SSH keys, cloud credentials, or application tokens.
🤖 AI Executive Summary
Hermes WebUI versions prior to v0.51.221 contain a path traversal vulnerability enabling attackers to escape workspace boundaries via symlinks, potentially exposing sensitive files like SSH keys and cloud credentials. The vulnerability affects file listing and workspace APIs that fail to validate symlink resolution boundaries. With a CVSS score of 6.5 and no patch currently available, organizations using Hermes WebUI should implement immediate compensating controls and monitor for exploitation attempts.
📄 Description (Arabic)
🤖 AI Intelligence Analysis Analyzed: Jun 5, 2026 03:00
🇸🇦 Saudi Arabia Impact Assessment
This vulnerability poses significant risk to Saudi government entities, research institutions, and technology companies using Hermes WebUI for collaborative development or data analysis. Government agencies under NCA oversight and ARAMCO's technology divisions are particularly vulnerable if Hermes WebUI is deployed in development or operational environments. The exposure of SSH keys, API tokens, and cloud credentials could compromise critical infrastructure access, especially if integrated with ARAMCO's systems or government cloud deployments. Banking sector technology teams using this tool for development face credential exposure risks affecting SAMA-regulated systems.
🏢 Affected Saudi Sectors
Government (NCA-regulated entities)
Energy (ARAMCO and subsidiaries)
Banking (SAMA-regulated institutions)
Telecommunications (STC and operators)
Healthcare (MOH facilities)
Research and Education (universities)
Technology and Software Development Companies
🎯 MITRE ATT&CK Techniques
⚖️ Saudi Risk Score (AI)
7.2
/ 10.0
🔧 Remediation Steps (English)
Immediate Actions:
1. Identify all Hermes WebUI instances in your environment and document their versions
2. Restrict network access to Hermes WebUI to trusted internal networks only; implement firewall rules blocking external access
3. Review access logs for suspicious file listing or workspace API requests, particularly those containing symlink patterns
4. Audit workspace directories for unauthorized symlinks pointing outside designated boundaries
Compensating Controls (until patch available):
5. Implement file system-level restrictions using SELinux or AppArmor to confine Hermes WebUI process to workspace directories only
6. Deploy Web Application Firewall (WAF) rules to detect and block requests containing '../' or symlink-related patterns in API calls
7. Run Hermes WebUI with minimal required privileges; use dedicated service accounts with restricted file system permissions
8. Disable or restrict workspace file listing APIs if not operationally required
9. Implement strict input validation on all file path parameters
Detection Rules:
10. Monitor for API calls to /workspace/files or /workspace/list endpoints with unusual patterns
11. Alert on file access attempts outside designated workspace root directories
12. Track symlink creation attempts within workspace directories
13. Monitor process-level file access logs for Hermes WebUI accessing files outside workspace boundaries
Patching:
14. Subscribe to Hermes project security advisories for patch availability
15. Plan immediate upgrade to v0.51.221 or later once released
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:
1. حدد جميع مثيلات Hermes WebUI في بيئتك وتوثيق إصداراتها
2. قيّد الوصول إلى الشبكة إلى Hermes WebUI للشبكات الداخلية الموثوقة فقط؛ تنفيذ قواعد جدار الحماية لحظر الوصول الخارجي
3. راجع سجلات الوصول للطلبات المريبة لقائمة الملفات أو واجهات برمجة تطبيقات مساحة العمل، خاصة تلك التي تحتوي على أنماط الروابط الرمزية
4. تدقيق دلائل مساحة العمل للروابط الرمزية غير المصرح بها التي تشير خارج الحدود المعينة
الضوابط التعويضية (حتى توفر التصحيح):
5. تنفيذ قيود على مستوى نظام الملفات باستخدام SELinux أو AppArmor لحصر عملية Hermes WebUI على دلائل مساحة العمل فقط
6. نشر قواعد جدار تطبيقات الويب (WAF) للكشف عن الطلبات التي تحتوي على '../' أو أنماط متعلقة بالروابط الرمزية وحظرها
7. تشغيل Hermes WebUI بأقل صلاحيات مطلوبة؛ استخدام حسابات خدمة مخصصة بأذونات نظام ملفات مقيدة
8. تعطيل أو تقييد واجهات برمجة تطبيقات قائمة ملفات مساحة العمل إذا لم تكن مطلوبة تشغيلياً
9. تنفيذ التحقق الصارم من المدخلات على جميع معاملات مسار الملف
قواعد الكشف:
10. مراقبة استدعاءات واجهات برمجة التطبيقات إلى نقاط نهاية /workspace/files أو /workspace/list بأنماط غير عادية
11. تنبيه محاولات الوصول إلى الملفات خارج دلائل جذر مساحة العمل المعينة
12. تتبع محاولات إنشاء الروابط الرمزية داخل دلائل مساحة العمل
13. مراقبة سجلات الوصول على مستوى العملية لـ Hermes WebUI للوصول إلى الملفات خارج حدود مساحة العمل
التصحيح:
14. الاشتراك في تنبيهات أمان مشروع Hermes لتوفر التصحيح
15. التخطيط للترقية الفورية إلى الإصدار 0.51.221 أو أحدث عند إصداره
📋 Regulatory Compliance Mapping
🟢 NCA ECC 2024
A.5.1.1 - Information Security Policies (access control policies)
A.6.1.1 - Organization of Information Security (segregation of duties)
A.8.1.1 - Asset Management (asset inventory and control)
A.9.1.1 - Access Control (principle of least privilege)
A.12.4.1 - Logging and Monitoring (detection of unauthorized access)
🔵 SAMA CSF
ID.AM-2 - Asset Management (inventory of systems)
PR.AC-1 - Access Control (least privilege principle)
PR.AC-3 - Access Enforcement (boundary protection)
DE.CM-1 - Detection and Analysis (monitoring for anomalies)
DE.CM-3 - Detection and Analysis (unauthorized access detection)
🟡 ISO 27001:2022
A.5.1.1 - Information security policies
A.6.1.1 - Organization of information security
A.8.1.1 - Asset management
A.9.1.1 - Access control policy
A.9.2.1 - User registration and de-registration
A.9.4.3 - Password management
A.12.4.1 - Event logging
🟣 PCI DSS v4.0.1
Requirement 1.1 - Firewall configuration standards
Requirement 2.1 - Default security parameters
Requirement 6.2 - Security patches and updates
Requirement 7.1 - Limit access to system components
Requirement 10.2 - Implement automated audit trails
🔗 References & Sources 3
🔗
🔗
🔗
https://github.com/nesquena/hermes-webui/commit/7c48c376299b8058fd35127a59aefadded7e4a92
disclosure@vulncheck.com
https://github.com/nesquena/hermes-webui/pull/3398
disclosure@vulncheck.com
https://www.vulncheck.com/advisories/hermes-webui-before-path-traversal-via-symlink-wor...
disclosure@vulncheck.com