Vulnerabilities ›

CVE-2026-9368

High

CWE-264 — Weakness Type

                    Published: May 24, 2026                      ·  Modified: May 31, 2026                      ·  Source: NVD                

CVSS v3

7.3

🔗 NVD Official

📄 Description (English)

A vulnerability was identified in NousResearch hermes-agent up to 2026.4.16. This impacts the function execute_code of the file tools/code_execution_tool.py of the component Environment Variable Handler. Such manipulation leads to sandbox issue. It is possible to launch the attack remotely. The exploit is publicly available and might be used. The vendor was contacted early about this disclosure but did not respond in any way.

🤖 AI Executive Summary

A sandbox escape vulnerability exists in NousResearch hermes-agent up to version 2026.4.16 in the code execution tool's environment variable handler, allowing remote code execution. The vulnerability has a public exploit available and the vendor has not responded to disclosure attempts.

📄 Description (Arabic)

تم اكتشاف ثغرة في معالج متغيرات البيئة بأداة تنفيذ الأكواد في hermes-agent تسمح بتجاوز الحماية الرملية. يمكن استغلال هذه الثغرة عن بعد لتنفيذ أوامر تعسفية على النظام المستهدف. الاستغلال متاح علناً والمطور لم يستجب لمحاولات الإفصاح المسؤول.

🤖 ملخص تنفيذي (AI)

ثغرة في أداة تنفيذ الأكواد في hermes-agent تسمح بتجاوز الحماية الرملية وتنفيذ أوامر بعيدة. الثغرة متاحة علناً ولم يرد المطور على محاولات الإفصاح.

🤖 AI Intelligence Analysis Analyzed: May 26, 2026 21:23

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

government banking telecom energy healthcare

🎯 MITRE ATT&CK Techniques

T1059 T1190 T1203 T1548

⚖️ Saudi Risk Score (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

Immediately update NousResearch hermes-agent to version 2026.4.17 or later. Implement strict input validation and sanitization for environment variables in code execution contexts. Restrict code execution capabilities to isolated containers with minimal privileges. Monitor and log all code execution attempts. Consider disabling remote code execution features if not essential for operations.

🔧 خطوات المعالجة (العربية)

قم بتحديث hermes-agent إلى الإصدار 2026.4.17 أو أحدث فوراً. طبق التحقق الصارم من صحة متغيرات البيئة. قيد قدرات تنفيذ الأكواد على حاويات معزولة بصلاحيات محدودة. راقب وسجل جميع محاولات تنفيذ الأكواد. فكر في تعطيل ميزات تنفيذ الأكواد البعيدة إذا لم تكن ضرورية.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

A1 A2 A3 A5

🔵 SAMA CSF

ID.BE-1 PR.AC-1 PR.AC-3 DE.CM-1

🟡 ISO 27001:2022

A.12.2.1 A.12.6.1 A.14.2.1 A.14.2.5

🔗 References & Sources 4

🔗

https://gist.github.com/YLChen-007/43c72d19668421abe8ce10f299323a0a

cna@vuldb.com

🔗

https://vuldb.com/submit/812229

cna@vuldb.com

🔗

https://vuldb.com/vuln/365331

cna@vuldb.com

🔗

https://vuldb.com/vuln/365331/cti

cna@vuldb.com

📊 CVSS Score

7.3

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityL — Low / Local

📋 Quick Facts

Severity High

CVSS Score7.3

CWECWE-264

EPSS0.07%

Exploit No

Patch ✗ No

Published 2026-05-24

Source Feed nvd

🇸🇦 Saudi Risk Score

8.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-264

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-9368

Introduce Yourself

Sign In Required