CVE-2026-49959
WysokieCVSS 8.8Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 56 - wyżej niż 56% wszystkich znanych CVE
Streszczenie
Hermes WebUI przed wersją 0.51.311 zawiera podatność na zdalne wykonanie kodu, która pozwala uwierzytelnionym atakującym na wykonywanie dowolnych poleceń poprzez umieszczenie złośliwej konfiguracji Git w pliku .git/config repozytorium roboczego.
Ocena ryzyka
Atakujący mogą wykorzystać tę podatność do przejęcia kontroli nad systemem, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.
Rekomendacja
Zaleca się aktualizację Hermes WebUI do wersji 0.51.311 lub nowszej, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
Hermes WebUI before version 0.51.311 contains a remote code execution vulnerability that allows authenticated attackers to execute arbitrary commands by placing malicious executable Git configuration in a workspace repository's .git/config file. Attackers can exploit Git subprocess invocations in api/workspace_git.py through vectors such as core.fsmonitor during git status, protocol.ext.allow with ext:: remotes during git fetch, credential.helper, core.askPass, core.gitProxy, or inherited environment variables including GIT_SSH_COMMAND to achieve arbitrary command execution on the host running the application.

