1  info:
 2    name: simstudioai
 3    cve: CVE-2025-15099
 4    summary: simstudioai sim 中由于 CRON Secret Handler 漏洞导致身份验证不当。
 5    details: |
 6      在 simstudioai sim 的 0.5.27 及更早版本中发现了一个漏洞，具体影响了 `apps/sim/lib/auth/internal.ts` 文件中的 CRON Secret Handler 组件。
 7      `INTERNAL_API_SECRET` 参数的操纵导致身份验证不当，允许远程攻击者利用该系统。
 8      此漏洞的利用代码已公开。
 9    cvss: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
10    severity: MEDIUM
11    security_advise: |
12      1. 应用由 `e359dc2946b12ed5e45a0ec9c95ecf91bd18502a` 标识的补丁。
13      2. 将 simstudioai sim 升级到 0.5.27 以上的版本。
14  rule: version <= "0.5.27"
15  references:
16    - https://nvd.nist.gov/vuln/detail/CVE-2025-15099
17    - https://github.com/simstudioai/sim/pull/2343
18    - https://github.com/simstudioai/sim/commit/e359dc2946b12ed5e45a0ec9c95ecf91bd18502a
19    - https://gist.github.com/H2u8s/c533741e1b36f6245d41cace89a7f4d2
20    - https://gist.github.com/H2u8s/c533741e1b36f6245d41cace89a7f4d2#-steps-to-reproduce
21    - https://vuldb.com/?ctiid.338430
22    - https://vuldb.com/?id.338430
23    - https://vuldb.com/?submit.710255