Kerentanan  ·  2026-07-01

Vibe-Trading — DNS Rebinding Authentication Bypass Memungkinkan Remote Bearer-Token Bypass (CVE-2026-58169)

KerentananHigh dampakGlobalCVE-2026-58169
CVE-2026-58169 (CVSS 7.5 High) mempengaruhi Vibe-Trading sebelum 0.1.10. Server mengikat ke 0.0.0.0 dan mempercayai TCP peer addresses untuk loopback clients tanpa memvalidasi HTTP Host header. Remote attacker dapat memanfaatkan DNS rebinding untuk membuat victim's browser mengirim requests yang server perlakukan sebagai localhost-originated, membypass bearer-token authentication. Dipublikasikan 2026-06-30.
Dalam agentic trading platform, authentication bypass dapat memungkinkan remote unauthenticated attackers untuk mengirimkan trading mandates atau mengakses financial broker API sessions, secara langsung mengaktifkan financial loss atau account hijacking.
DNS rebinding attack: attacker mendaftarkan domain yang pertama resolve ke attacker IP, kemudian rebinds ke 127.0.0.1. Victim's browser membuat cross-origin requests yang server terima sebagai loopback-origin, membypass authentication.
HKUDS/Vibe-Trading < 0.1.10
Upgrade ke Vibe-Trading 0.1.10 atau lebih baru. PR: https://github.com/HKUDS/Vibe-Trading/pull/241
Sumber
NVD CVE-2026-58169GitHub PR fix
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →