事件经过
CVE-2026-58171(CVSS 4.2 中),发布于 2026-06-30,是影响 swarm 存储运行目录解析的 CVE-2026-58170 的伴随路径遍历。影响仅限于读取运行元数据文件而非任意文件系统写入。
影响分析
虽然严重程度低于其伴随 CVE,但智能体交易系统中的运行元数据可能包括有关活跃交易策略、智能体状态和任务参数的敏感信息。作为在 Vibe-Trading 0.1.10 中修复的同一组三个路径问题的一部分。
攻击途径
agent/src/swarm/store.py 中的 run_dir 函数通过将调用者提供的运行标识符连接到运行基目录而不进行验证来构建运行目录路径。精心构造的带有路径遍历序列的运行标识符会导致应用程序读取预期运行目录外的 run.json 文件。
受影响系统
HKUDS Vibe-Trading 0.1.10 之前
缓解措施
升级到 Vibe-Trading 0.1.10。修复提交:https://github.com/HKUDS/Vibe-Trading/commit/f45fd85392f07b5e404e41d4fcb0ef0d6c2f87ab