Apa yang terjadi
CVE-2026-58169 (CVSS 7.5 High) mempengaruhi Vibe-Trading sebelum 0.1.10. Server mengikat ke 0.0.0.0 dan mempercayai TCP peer addresses untuk loopback clients tanpa memvalidasi HTTP Host header. Remote attacker dapat memanfaatkan DNS rebinding untuk membuat victim's browser mengirim requests yang server perlakukan sebagai localhost-originated, membypass bearer-token authentication. Dipublikasikan 2026-06-30.
Mengapa penting
Dalam agentic trading platform, authentication bypass dapat memungkinkan remote unauthenticated attackers untuk mengirimkan trading mandates atau mengakses financial broker API sessions, secara langsung mengaktifkan financial loss atau account hijacking.
Vektor serangan
DNS rebinding attack: attacker mendaftarkan domain yang pertama resolve ke attacker IP, kemudian rebinds ke 127.0.0.1. Victim's browser membuat cross-origin requests yang server terima sebagai loopback-origin, membypass authentication.
Sistem yang terdampak
HKUDS/Vibe-Trading < 0.1.10
Mitigasi
Upgrade ke Vibe-Trading 0.1.10 atau lebih baru. PR: https://github.com/HKUDS/Vibe-Trading/pull/241