무슨 일이 있었나
CVE-2026-58169 (CVSS 7.5 높음)은 0.1.10 이전의 Vibe-Trading에 영향을 미칩니다. 서버는 0.0.0.0에 바인딩하고 HTTP Host 헤더를 검증하지 않고 루프백 클라이언트를 위한 TCP 피어 주소를 신뢰합니다. 원격 공격자는 DNS 리바인딩을 악용하여 피해자의 브라우저가 서버가 localhost 출처로 처리하는 요청을 보내도록 할 수 있으며, Bearer 토큰 인증을 우회합니다. 2026-06-30에 공개됨.
왜 중요한가
에이전틱 거래 플랫폼에서 인증 우회는 원격 인증되지 않은 공격자가 거래 위임을 제출하거나 금융 브로커 API 세션에 액세스할 수 있게 하여 직접적으로 금융 손실 또는 계정 탈취를 가능하게 합니다.
공격 경로
DNS 리바인딩 공격: 공격자는 먼저 공격자 IP로 해석되는 도메인을 등록한 후 127.0.0.1로 리바인딩합니다. 피해자의 브라우저는 서버가 루프백 출처로 수락하는 크로스 오리진 요청을 만들어 인증을 우회합니다.
영향받는 시스템
HKUDS/Vibe-Trading < 0.1.10
완화 방안
Vibe-Trading 0.1.10 이상으로 업그레이드하십시오. PR: https://github.com/HKUDS/Vibe-Trading/pull/241