취약점  ·  2026-07-01

Vibe-Trading 에이전틱 거래 플랫폼 — 제안 파일 로딩의 경로 순회로 임의 파일 읽기 가능 (CVE-2026-58170)

취약점High 영향도GlobalCVE-2026-58170
CVE-2026-58170 (CVSS 8.3 높음)은 0.1.10 이전의 Vibe-Trading에 영향을 미칩니다. 플랫폼은 agent/src/live/mandate/commit.py에서 살균 없이 호출자 제공 제안 식별자를 브로커 제안 디렉토리에 조인하여 제안 파일 경로를 구성합니다. 경로 순회 시퀀스를 포함하는 제안 식별자 (예: ../../etc/passwd)는 애플리케이션이 공격자가 선택한 파일을 파일시스템에서 로드하도록 합니다. 2026-06-30에 공개됨.
Vibe-Trading은 AI 에이전트가 재정 위임을 실행하는 에이전틱 AI 거래 플랫폼입니다. 위임 커밋 경로의 경로 순회는 공격자가 에이전트를 호스팅하는 서버에서 임의의 파일을 읽을 수 있게 합니다 — 구성 파일, 금융 브로커를 위한 API 키 및 에이전트 상태 파일 포함 — 잠재적으로 금융 사기 또는 브로커 자격증명 탈취를 가능하게 합니다.
공격자가 경로 순회 시퀀스를 포함하는 제안 식별자를 위임 커밋 엔드포인트에 제공합니다. 살균되지 않은 조인은 에이전트가 임의의 파일 경로를 열고 처리하도록 합니다.
HKUDS/Vibe-Trading < 0.1.10
Vibe-Trading 0.1.10 이상으로 업그레이드하십시오. 수정 커밋: https://github.com/HKUDS/Vibe-Trading/commit/0ab701302f90e701c9dc558a898a217a376610c3
출처
NVD CVE-2026-58170GitHub fix commit
라이브 피드에서 보기 AI 보안 및 거버넌스 관련 소식을 더 살펴보세요 — 매일 아침 업데이트.
피드 열기 →