漏洞  ·  2026-07-02

Vibe-Trading — MCP Swarm 运行目录路径遍历允许任意运行元数据读取

漏洞Medium 影响GlobalCVE-2026-58171
CVE-2026-58171(CVSS 4.2 中),发布于 2026-06-30,是影响 swarm 存储运行目录解析的 CVE-2026-58170 的伴随路径遍历。影响仅限于读取运行元数据文件而非任意文件系统写入。
虽然严重程度低于其伴随 CVE,但智能体交易系统中的运行元数据可能包括有关活跃交易策略、智能体状态和任务参数的敏感信息。作为在 Vibe-Trading 0.1.10 中修复的同一组三个路径问题的一部分。
agent/src/swarm/store.py 中的 run_dir 函数通过将调用者提供的运行标识符连接到运行基目录而不进行验证来构建运行目录路径。精心构造的带有路径遍历序列的运行标识符会导致应用程序读取预期运行目录外的 run.json 文件。
HKUDS Vibe-Trading 0.1.10 之前
升级到 Vibe-Trading 0.1.10。修复提交:https://github.com/HKUDS/Vibe-Trading/commit/f45fd85392f07b5e404e41d4fcb0ef0d6c2f87ab
来源
NVD CVE-2026-58171GitHub fix commit
在实时动态中查看 浏览更多 AI 安全与治理相关发现 — 每日清晨更新。
打开动态 →