Apa yang terjadi
CVE-2026-58171 (CVSS 4.2 Medium), dipublikasikan 2026-06-30, adalah path traversal pendamping ke CVE-2026-58170, yang mempengaruhi resolusi direktori jalankan penyimpanan swarm. Dampaknya terbatas pada pembacaan file metadata jalankan daripada penulisan sistem file sembarangan.
Mengapa penting
Meskipun keparahan lebih rendah dari CVE pendampingnya, metadata jalankan dalam sistem perdagangan agentic dapat mencakup informasi sensitif tentang strategi perdagangan aktif, status agen, dan parameter tugas. Bagian dari trifecta yang sama dari masalah jalur yang diperbaiki dalam Vibe-Trading 0.1.10.
Vektor serangan
Fungsi run_dir dalam agent/src/swarm/store.py membangun jalur direktori jalankan dengan menggabungkan pengenal jalankan yang disediakan pemanggil ke direktori dasar runs tanpa validasi. Pengenal jalankan yang dirancang dengan urutan path traversal menyebabkan aplikasi membaca file run.json di luar direktori runs yang dimaksudkan.
Sistem yang terdampak
HKUDS Vibe-Trading sebelum 0.1.10
Mitigasi
Upgrade ke Vibe-Trading 0.1.10. Komit perbaikan: https://github.com/HKUDS/Vibe-Trading/commit/f45fd85392f07b5e404e41d4fcb0ef0d6c2f87ab