무슨 일이 있었나
CVE-2026-58170 (CVSS 8.3 높음)은 0.1.10 이전의 Vibe-Trading에 영향을 미칩니다. 플랫폼은 agent/src/live/mandate/commit.py에서 살균 없이 호출자 제공 제안 식별자를 브로커 제안 디렉토리에 조인하여 제안 파일 경로를 구성합니다. 경로 순회 시퀀스를 포함하는 제안 식별자 (예: ../../etc/passwd)는 애플리케이션이 공격자가 선택한 파일을 파일시스템에서 로드하도록 합니다. 2026-06-30에 공개됨.
왜 중요한가
Vibe-Trading은 AI 에이전트가 재정 위임을 실행하는 에이전틱 AI 거래 플랫폼입니다. 위임 커밋 경로의 경로 순회는 공격자가 에이전트를 호스팅하는 서버에서 임의의 파일을 읽을 수 있게 합니다 — 구성 파일, 금융 브로커를 위한 API 키 및 에이전트 상태 파일 포함 — 잠재적으로 금융 사기 또는 브로커 자격증명 탈취를 가능하게 합니다.
공격 경로
공격자가 경로 순회 시퀀스를 포함하는 제안 식별자를 위임 커밋 엔드포인트에 제공합니다. 살균되지 않은 조인은 에이전트가 임의의 파일 경로를 열고 처리하도록 합니다.
영향받는 시스템
HKUDS/Vibe-Trading < 0.1.10
완화 방안
Vibe-Trading 0.1.10 이상으로 업그레이드하십시오. 수정 커밋: https://github.com/HKUDS/Vibe-Trading/commit/0ab701302f90e701c9dc558a898a217a376610c3