Hermes WebUI < 0.51.311 RCE via Git Configuration Injection 漏洞概述 Hermes WebUI 在 0.51.311 版本之前存在远程代码执行漏洞,攻击者可以通过在 Git 配置文件中放置恶意可执行文件来执行任意命令。具体来说,攻击者可以利用 Git 子进程调用在 中通过 、 、 等向量,如 、 、 、 或继承的环境变量(包括 )来实现对运行应用程序的主机的任意命令执行。 影响范围 受影响版本: Hermes WebUI < 0.51.311 CVE: CVE-2026-49959 CVSS 评分: 8.7 CVSS 向量: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 修复方案 发布日期: 2026年6月9日 参考链接: - Release Notes - Pull Request - Patch Commit 其他信息 CWE: CWE-78 Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') 贡献者: Chia Min Jun Lennon