Kerentanan  ·  2026-07-02

Vibe-Trading — Path Traversal Direktori Jalankan Swarm MCP Memungkinkan Pembacaan Metadata Jalankan Sembarangan

KerentananMedium dampakGlobalCVE-2026-58171
CVE-2026-58171 (CVSS 4.2 Medium), dipublikasikan 2026-06-30, adalah path traversal pendamping ke CVE-2026-58170, yang mempengaruhi resolusi direktori jalankan penyimpanan swarm. Dampaknya terbatas pada pembacaan file metadata jalankan daripada penulisan sistem file sembarangan.
Meskipun keparahan lebih rendah dari CVE pendampingnya, metadata jalankan dalam sistem perdagangan agentic dapat mencakup informasi sensitif tentang strategi perdagangan aktif, status agen, dan parameter tugas. Bagian dari trifecta yang sama dari masalah jalur yang diperbaiki dalam Vibe-Trading 0.1.10.
Fungsi run_dir dalam agent/src/swarm/store.py membangun jalur direktori jalankan dengan menggabungkan pengenal jalankan yang disediakan pemanggil ke direktori dasar runs tanpa validasi. Pengenal jalankan yang dirancang dengan urutan path traversal menyebabkan aplikasi membaca file run.json di luar direktori runs yang dimaksudkan.
HKUDS Vibe-Trading sebelum 0.1.10
Upgrade ke Vibe-Trading 0.1.10. Komit perbaikan: https://github.com/HKUDS/Vibe-Trading/commit/f45fd85392f07b5e404e41d4fcb0ef0d6c2f87ab
Sumber
NVD CVE-2026-58171GitHub fix commit
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →