취약점  ·  2026-07-02

Vibe-Trading — MCP Swarm 실행 디렉토리 경로 순회로 임의 실행 메타데이터 읽기 허용

취약점Medium 영향도GlobalCVE-2026-58171
2026-06-30에 발표된 CVE-2026-58171(CVSS 4.2 Medium)은 swarm 저장소의 실행 디렉토리 해석에 영향을 미치는 CVE-2026-58170의 동반 경로 순회입니다. 영향은 임의 파일 시스템 쓰기가 아닌 실행 메타데이터 파일 읽기로 제한됩니다.
동반 CVE보다 심각도가 낮지만 에이전트 거래 시스템의 실행 메타데이터는 활성 거래 전략, 에이전트 상태 및 작업 매개변수에 대한 민감한 정보를 포함할 수 있습니다. Vibe-Trading 0.1.10에서 수정된 경로 문제 삼중쌍의 일부입니다.
agent/src/swarm/store.py의 run_dir 함수는 호출자 제공 실행 식별자를 검증 없이 실행 기본 디렉토리에 조인하여 실행 디렉토리 경로를 구성합니다. 경로 순회 시퀀스가 포함된 조정된 실행 식별자로 인해 애플리케이션이 의도된 실행 디렉토리 외부의 run.json 파일을 읽게 합니다.
HKUDS Vibe-Trading 0.1.10 이전
Vibe-Trading 0.1.10으로 업그레이드하세요. 수정 커밋: https://github.com/HKUDS/Vibe-Trading/commit/f45fd85392f07b5e404e41d4fcb0ef0d6c2f87ab
출처
NVD CVE-2026-58171GitHub fix commit
라이브 피드에서 보기 AI 보안 및 거버넌스 관련 소식을 더 살펴보세요 — 매일 아침 업데이트.
피드 열기 →