脆弱性  ·  2026-07-02

Vibe-Trading — MCP スウォーム ラン ディレクトリ パストラバーサルが任意のラン メタデータ読み取りを許可

脆弱性Medium 影響度GlobalCVE-2026-58171
CVE-2026-58171(CVSS 4.2 Medium)は 2026年6月30日に公開され、スウォーム ストアのラン ディレクトリ解決に影響する CVE-2026-58170 のコンパニオン パストラバーサルです。影響は任意ファイルシステム書き込みではなく、実行メタデータ ファイルを読み取るに限定されています。
コンパニオン CVE よりも低い重大度ですが、エージェント トレーディング システム内の実行メタデータには、アクティブなトレーディング戦略、エージェント状態、およびタスク パラメータに関する機密情報が含まれる場合があります。Vibe-Trading 0.1.10 で修正された同じ 3 つの目パスの問題の一部です。
agent/src/swarm/store.py 内の run_dir 関数は、呼び出し元から提供されたラン識別子を検証なしで実行ベース ディレクトリに結合することで、実行ディレクトリ パスを構成しています。パストラバーサル シーケンスを含む細工されたラン識別子により、アプリケーションは目的の実行ディレクトリの外側から run.json ファイルを読み取るようになります。
HKUDS Vibe-Trading 0.1.10 より前
Vibe-Trading 0.1.10 にアップグレードしてください。修正コミット:https://github.com/HKUDS/Vibe-Trading/commit/f45fd85392f07b5e404e41d4fcb0ef0d6c2f87ab
出典
NVD CVE-2026-58171GitHub fix commit
ライブフィードで見る AIセキュリティとガバナンスの関連情報をさらに見る — 毎朝更新。
フィードを開く →