الثغرات ›

CVE-2026-9368

مرتفع

CWE-264 — نوع الضعف

                    نُشر: May 24, 2026                      ·  آخر تحديث: May 31, 2026                      ·  المصدر: NVD                

CVSS v3

7.3

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

A vulnerability was identified in NousResearch hermes-agent up to 2026.4.16. This impacts the function execute_code of the file tools/code_execution_tool.py of the component Environment Variable Handler. Such manipulation leads to sandbox issue. It is possible to launch the attack remotely. The exploit is publicly available and might be used. The vendor was contacted early about this disclosure but did not respond in any way.

🤖 ملخص AI

A sandbox escape vulnerability exists in NousResearch hermes-agent up to version 2026.4.16 in the code execution tool's environment variable handler, allowing remote code execution. The vulnerability has a public exploit available and the vendor has not responded to disclosure attempts.

📄 الوصف (العربية)

تم اكتشاف ثغرة في معالج متغيرات البيئة بأداة تنفيذ الأكواد في hermes-agent تسمح بتجاوز الحماية الرملية. يمكن استغلال هذه الثغرة عن بعد لتنفيذ أوامر تعسفية على النظام المستهدف. الاستغلال متاح علناً والمطور لم يستجب لمحاولات الإفصاح المسؤول.

🤖 ملخص تنفيذي (AI)

ثغرة في أداة تنفيذ الأكواد في hermes-agent تسمح بتجاوز الحماية الرملية وتنفيذ أوامر بعيدة. الثغرة متاحة علناً ولم يرد المطور على محاولات الإفصاح.

🤖 التحليل الذكي آخر تحليل: May 26, 2026 21:23

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

government banking telecom energy healthcare

🎯 تقنيات MITRE ATT&CK

T1059 T1190 T1203 T1548

⚖️ درجة المخاطر السعودية (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

Immediately update NousResearch hermes-agent to version 2026.4.17 or later. Implement strict input validation and sanitization for environment variables in code execution contexts. Restrict code execution capabilities to isolated containers with minimal privileges. Monitor and log all code execution attempts. Consider disabling remote code execution features if not essential for operations.

🔧 خطوات المعالجة (العربية)

قم بتحديث hermes-agent إلى الإصدار 2026.4.17 أو أحدث فوراً. طبق التحقق الصارم من صحة متغيرات البيئة. قيد قدرات تنفيذ الأكواد على حاويات معزولة بصلاحيات محدودة. راقب وسجل جميع محاولات تنفيذ الأكواد. فكر في تعطيل ميزات تنفيذ الأكواد البعيدة إذا لم تكن ضرورية.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A1 A2 A3 A5

🔵 SAMA CSF

ID.BE-1 PR.AC-1 PR.AC-3 DE.CM-1

🟡 ISO 27001:2022

A.12.2.1 A.12.6.1 A.14.2.1 A.14.2.5

🔗 المراجع والمصادر 4

🔗

https://gist.github.com/YLChen-007/43c72d19668421abe8ce10f299323a0a

cna@vuldb.com

🔗

https://vuldb.com/submit/812229

cna@vuldb.com

🔗

https://vuldb.com/vuln/365331

cna@vuldb.com

🔗

https://vuldb.com/vuln/365331/cti

cna@vuldb.com

📊 CVSS Score

7.3

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityL — Low / Local

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score7.3

CWECWE-264

EPSS0.07%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-24

المصدر nvd

المشاهدات 2

🇸🇦 درجة المخاطر السعودية

8.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-264

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-9368

عرّفنا بنفسك

تسجيل الدخول مطلوب