1  info:
 2    name: simstudioai
 3    cve: CVE-2025-10097
 4    summary: SimStudioAI 的 `execute` 函数存在代码注入漏洞。
 5    details: |
 6      在 SimStudioAI sim 中发现了一个漏洞，具体位于 `apps/sim/app/api/function/execute/route.ts` 文件。
 7      对 `code` 参数的操纵可能导致远程代码注入。
 8    cvss: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L
 9    severity: MEDIUM
10    security_advise: |
11      1. 将 SimStudioAI 升级到 0.1.19 以上的版本。
12      2. 对 `execute` 函数中的 `code` 参数实施严格的输入验证和净化，以防止任意代码执行。
13      3. 审查并限制受影响函数的权限，以最大程度地减少潜在影响。
14  rule: version > "0" && version <= "0.1.19"
15  references:
16    - https://nvd.nist.gov/vuln/detail/CVE-2025-10097
17    - https://github.com/simstudioai/sim/issues/961
18    - https://github.com/simstudioai/sim/issues/961#issuecomment-3215578979
19    - https://github.com/simstudioai/sim/pull/1149/commits/3f790867427275ebae3b3dc75cf1d93d912ac9ca
20    - https://github.com/simstudioai/sim
21    - https://vuldb.com/?ctiid.323058
22    - https://vuldb.com/?id.323058
23    - https://vuldb.com/?submit.644954