漏洞  ·  2026-07-01

Vibe-Trading 代理交易平台——提案文件加载中的路径遍历启用任意文件读取 (CVE-2026-58170)

漏洞High 影响GlobalCVE-2026-58170
CVE-2026-58170 (CVSS 8.3 高) 影响 Vibe-Trading 0.1.10 之前的版本。该平台通过在 agent/src/live/mandate/commit.py 中将调用方提供的提案标识符加入到代理提案目录中而不进行清理来构建提案文件路径。包含路径遍历序列的提案标识符(例如 ../../etc/passwd)导致应用程序从文件系统加载攻击者选择的文件。发布于 2026-06-30。
Vibe-Trading 是一个代理 AI 交易平台,其中 AI 代理执行财务授权。强制提交路径中的路径遍历允许攻击者从托管代理的服务器读取任意文件——包括配置文件、财务代理的 API 密钥和代理状态文件——可能启用财务欺诈或代理凭证盗窃。
攻击者向强制提交端点提供包含路径遍历序列的提案标识符;未清理的加入导致代理打开并处理任意文件路径。
HKUDS/Vibe-Trading < 0.1.10
升级到 Vibe-Trading 0.1.10 或更高版本。修复提交:https://github.com/HKUDS/Vibe-Trading/commit/0ab701302f90e701c9dc558a898a217a376610c3
来源
NVD CVE-2026-58170GitHub fix commit
在实时动态中查看 浏览更多 AI 安全与治理相关发现 — 每日清晨更新。
打开动态 →