CVE-2026-58171
ŚrednieCVSS 4.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 17 — wyżej niż 17% wszystkich znanych CVE
Streszczenie
Podatność w Vibe-Trading przed wersją 0.1.10 pozwala na odczyt i nadpisanie plików run.json poza katalogiem runs. Atakujący może wykorzystać spreparowany identyfikator uruchomienia przekazany przez narzędzia MCP swarm, co prowadzi do naruszenia poufności i integralności danych.
Ocena ryzyka
Organizacja narażona jest na wyciek wrażliwych danych z plików run.json oraz na ich nieautoryzowaną modyfikację, co może zakłócić działanie systemu lub umożliwić dalsze ataki.
Rekomendacja
Należy niezwłocznie zaktualizować Vibe-Trading do wersji 0.1.10 lub nowszej, która zawiera poprawkę walidacji identyfikatora uruchomienia.
Oryginalny opis (angielski, źródło NVD)
Vibe-Trading before 0.1.10 constructs the swarm run directory by joining a caller-supplied run identifier onto the runs base directory without validation in run_dir (agent/src/swarm/store.py). A crafted run identifier supplied through the MCP swarm tools causes the application to read arbitrary run.json files outside the runs directory and to overwrite existing run.json files at traversed locations.

