何が起きたか
CVE-2026-58170 (CVSS 8.3高) は0.1.10より前のVibe-Tradingに影響します。プラットフォームは、agent/src/live/mandate/commit.pyでサニタイゼーションなしにブローカー提案ディレクトリにコーラー提供の提案識別子を結合して提案ファイルパスを構築します。パストラバーサルシーケンス (例:../../etc/passwd) を含む提案識別子により、アプリケーションは攻撃者が選択したファイルをファイルシステムから読み込みます。2026年6月30日に公開されました。
なぜ重要か
Vibe-TradingはAIエージェントが財務マンデートを実行するエージェント AI取引プラットフォームです。マンデートコミットパスウェイのパストラバーサルにより、攻撃者はエージェントをホストしているサーバーから任意のファイル (構成ファイル、ブローカー用APIキー、エージェント状態ファイル) を読み取ることができます。これにより、金融詐欺またはブローカー認証情報盗難が可能になる可能性があります。
攻撃経路
攻撃者はマンデートコミットエンドポイントにパストラバーサルシーケンスを含む提案識別子を提供します。サニタイゼーションされていない結合により、エージェントは任意のファイルパスを開いて処理します。
影響を受けるシステム
HKUDS/Vibe-Trading < 0.1.10
緩和策
Vibe-Trading 0.1.10以降にアップグレードしてください。修正コミット: https://github.com/HKUDS/Vibe-Trading/commit/0ab701302f90e701c9dc558a898a217a376610c3