CVE-2026-58169

Nome do Software Vulnerável e Versões Afetadas Vibe-Trading versões anteriores a 0.1.10

Descrição O servidor de API local confia no endereço TCP peer para ignorar a verificação do token bearer API AUTH KEY para clientes de loopback e não realiza a validação do cabeçalho Host ao vincular ao 0.0.0.0 com CORS credenciado por padrão. Isso permite que uma página de DNS-rebinding envie requisições autenticadas para a API local como um cliente de loopback confiável. Como requisições de loopback habilitam automaticamente ferramentas de shell, um invasor pode acessar o endpoint 'POST /swarm/runs' usando um preset integrado que permite a ferramenta bash para alcançar a execução remota de código como o usuário do processo da API. Além disso, esse bypass permite iniciar o executor ao vivo e sobrescrever as configurações de LLM e fonte de dados para redirecionar o tráfego do provedor e exfiltrar credenciais.

Recomendações Atualize o Vibe-Trading para a versão 0.1.10 ou posterior.