事件经过
CVE-2026-58169 (CVSS 7.5 高) 影响 Vibe-Trading 0.1.10 之前的版本。服务器绑定到 0.0.0.0 并信任 TCP 对等地址用于本地主机客户端而不验证 HTTP 主机头。远程攻击者可以利用 DNS 重新绑定使受害者的浏览器发送服务器视为本地主机源的请求,绕过承载令牌身份验证。发布于 2026-06-30。
影响分析
在代理交易平台中,身份验证绕过可允许远程未经身份验证的攻击者提交交易授权或访问财务代理 API 会话,直接启用财务损失或账户劫持。
攻击途径
DNS 重新绑定攻击:攻击者注册一个域,该域首先解析为攻击者 IP,然后重新绑定到 127.0.0.1。受害者的浏览器发送服务器接受为本地主机源的跨源请求,绕过身份验证。
受影响系统
HKUDS/Vibe-Trading < 0.1.10
缓解措施
升级到 Vibe-Trading 0.1.10 或更高版本。PR:https://github.com/HKUDS/Vibe-Trading/pull/241