Apa yang terjadi
CVE-2026-58170 (CVSS 8.3 High) mempengaruhi Vibe-Trading sebelum 0.1.10. Platform membangun proposal file path dengan menggabungkan caller-supplied proposal identifier ke broker proposals directory tanpa sanitisation dalam agent/src/live/mandate/commit.py. Proposal identifier yang berisi path traversal sequences (misal, ../../etc/passwd) menyebabkan application untuk memuat attacker-chosen file dari filesystem. Dipublikasikan 2026-06-30.
Mengapa penting
Vibe-Trading adalah agentic AI trading platform di mana AI agents mengeksekusi financial mandates. Path traversal dalam mandate commit pathway memungkinkan attacker untuk membaca arbitrary files dari server yang menghosting agent — termasuk configuration files, API keys untuk financial brokers, dan agent state files — potentially memungkinkan financial fraud atau broker credential theft.
Vektor serangan
Attacker memasok proposal identifier yang berisi path traversal sequences ke mandate commit endpoint; unsanitised join menyebabkan agent untuk membuka dan memproses arbitrary file path.
Sistem yang terdampak
HKUDS/Vibe-Trading < 0.1.10
Mitigasi
Upgrade ke Vibe-Trading 0.1.10 atau lebih baru. Fix commit: https://github.com/HKUDS/Vibe-Trading/commit/0ab701302f90e701c9dc558a898a217a376610c3