何が起きたか
CVE-2026-58169 (CVSS 7.5高) は0.1.10より前のVibe-Tradingに影響します。サーバーは0.0.0.0にバインドし、HTTPホストヘッダーを検証せずにループバッククライアント用のTCPピアアドレスを信頼します。リモート攻撃者はDNSリバインディングを悪用して、被害者のブラウザがサーバーがlocalhostから発信されたと判断するリクエストを送信させ、ベアラートークン認証をバイパスできます。2026年6月30日に公開されました。
なぜ重要か
エージェント取引プラットフォーム内では、認証バイパスにより、リモート認証されていない攻撃者が取引マンデートを送信するか、金融ブローカーAPIセッションにアクセスできる可能性があります。これにより、直接的に金銭損失またはアカウントハイジャックが可能になります。
攻撃経路
DNSリバインディング攻撃: 攻撃者は最初に攻撃者IPに解決し、次に127.0.0.1にリバインドするドメインを登録します。被害者のブラウザはサーバーがループバックオリジンとして受け入れるクロスオリジンリクエストを作成し、認証をバイパスします。
影響を受けるシステム
HKUDS/Vibe-Trading < 0.1.10
緩和策
Vibe-Trading 0.1.10以降にアップグレードしてください。PR: https://github.com/HKUDS/Vibe-Trading/pull/241