Kerentanan  ·  2026-07-01

Vibe-Trading Agentic Trading Platform — Path Traversal dalam Proposal File Loading Mengaktifkan Arbitrary File Read (CVE-2026-58170)

KerentananHigh dampakGlobalCVE-2026-58170
CVE-2026-58170 (CVSS 8.3 High) mempengaruhi Vibe-Trading sebelum 0.1.10. Platform membangun proposal file path dengan menggabungkan caller-supplied proposal identifier ke broker proposals directory tanpa sanitisation dalam agent/src/live/mandate/commit.py. Proposal identifier yang berisi path traversal sequences (misal, ../../etc/passwd) menyebabkan application untuk memuat attacker-chosen file dari filesystem. Dipublikasikan 2026-06-30.
Vibe-Trading adalah agentic AI trading platform di mana AI agents mengeksekusi financial mandates. Path traversal dalam mandate commit pathway memungkinkan attacker untuk membaca arbitrary files dari server yang menghosting agent — termasuk configuration files, API keys untuk financial brokers, dan agent state files — potentially memungkinkan financial fraud atau broker credential theft.
Attacker memasok proposal identifier yang berisi path traversal sequences ke mandate commit endpoint; unsanitised join menyebabkan agent untuk membuka dan memproses arbitrary file path.
HKUDS/Vibe-Trading < 0.1.10
Upgrade ke Vibe-Trading 0.1.10 atau lebih baru. Fix commit: https://github.com/HKUDS/Vibe-Trading/commit/0ab701302f90e701c9dc558a898a217a376610c3
Sumber
NVD CVE-2026-58170GitHub fix commit
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →