CVE-2026-58173
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 22 — wyżej niż 22% wszystkich znanych CVE
Streszczenie
Podatność typu path traversal w Vibe-Trading przed wersją 0.1.10 pozwala atakującym na zapisywanie plików poza zamierzonym katalogiem głównym pamięci poprzez dostarczenie złośliwej wartości memory_type zawierającej sekwencje nawigacji po ścieżkach. Atakujący mogą manipulować parametrem memory_type w trwałym magazynie pamięci, co powoduje zapis dowolnych plików Markdown w nieprzeznaczonych lokalizacjach w systemie plików.
Ocena ryzyka
Ryzyko polega na możliwości nadpisania lub utworzenia plików w newralgicznych lokalizacjach systemu, co może prowadzić do eskalacji uprawnień, uruchomienia złośliwego kodu lub naruszenia integralności danych.
Rekomendacja
Należy natychmiast zaktualizować Vibe-Trading do wersji 0.1.10 lub nowszej, która zawiera poprawkę eliminującą podatność path traversal.
Oryginalny opis (angielski, źródło NVD)
Vibe-Trading before 0.1.10 contains a path traversal vulnerability that allows attackers to write files outside the intended memory root directory by supplying a malicious memory_type value containing path traversal sequences through the remember tool. Attackers can manipulate the memory_type parameter in the persistent memory store to cause the application to write arbitrary Markdown files to unintended locations on the filesystem.

