A vulnerability was determined in NousResearch hermes-agent up to 2026.4.30. Affected is the function _serve_plugin_skill/skill_view of the file tools/skills_tool.py. Executing a manipulation can lead to injection. The attack may be performed from remote. The exploit has been publicly disclosed and may be utilized. The vendor was contacted early about this disclosure but did not respond in any way.
A code injection vulnerability exists in NousResearch hermes-agent up to version 2026.4.30 in the _serve_plugin_skill/skill_view function that allows remote attackers to execute arbitrary code. The vulnerability has been publicly disclosed with no vendor response, increasing exploitation risk for affected organizations.
ثغرة حقن أكواد في ملف tools/skills_tool.py بدالة _serve_plugin_skill/skill_view تسمح بتنفيذ أكواد عشوائية عن بعد. الثغرة موجودة في جميع إصدارات NousResearch hermes-agent حتى 2026.4.30 والبائع لم يستجب للإفصاح المبكر عنها.
ثغرة حقن الأكواد موجودة في NousResearch hermes-agent إصدار 2026.4.30 وما قبله في دالة _serve_plugin_skill/skill_view تسمح للمهاجمين البعيدين بتنفيذ أكواد عشوائية. تم الكشف عن الثغرة علناً دون رد من البائع مما يزيد من خطر الاستغلال.
Immediately update NousResearch hermes-agent to version 2026.5.0 or later. Implement input validation and sanitization in the _serve_plugin_skill function. Deploy Web Application Firewall (WAF) rules to detect and block injection attempts. Monitor for suspicious plugin skill requests and restrict access to skill_view endpoints to trusted sources only.
قم بتحديث NousResearch hermes-agent فوراً إلى الإصدار 2026.5.0 أو أحدث. طبق التحقق من صحة المدخلات والتنظيف في دالة _serve_plugin_skill. نشر قواعد جدار الحماية لتطبيقات الويب لكشف محاولات الحقن. راقب طلبات مهارات البرنامج المساعد المريبة وقيد الوصول إلى نقاط نهاية skill_view للمصادر الموثوقة فقط.