漏洞  ·  2026-07-01

Vibe-Trading — DNS 重新绑定身份验证绕过允许远程承载令牌绕过 (CVE-2026-58169)

漏洞High 影响GlobalCVE-2026-58169
CVE-2026-58169 (CVSS 7.5 高) 影响 Vibe-Trading 0.1.10 之前的版本。服务器绑定到 0.0.0.0 并信任 TCP 对等地址用于本地主机客户端而不验证 HTTP 主机头。远程攻击者可以利用 DNS 重新绑定使受害者的浏览器发送服务器视为本地主机源的请求,绕过承载令牌身份验证。发布于 2026-06-30。
在代理交易平台中,身份验证绕过可允许远程未经身份验证的攻击者提交交易授权或访问财务代理 API 会话,直接启用财务损失或账户劫持。
DNS 重新绑定攻击:攻击者注册一个域,该域首先解析为攻击者 IP,然后重新绑定到 127.0.0.1。受害者的浏览器发送服务器接受为本地主机源的跨源请求,绕过身份验证。
HKUDS/Vibe-Trading < 0.1.10
升级到 Vibe-Trading 0.1.10 或更高版本。PR:https://github.com/HKUDS/Vibe-Trading/pull/241
来源
NVD CVE-2026-58169GitHub PR fix
在实时动态中查看 浏览更多 AI 安全与治理相关发现 — 每日清晨更新。
打开动态 →