1  info:
 2    name: simstudioai
 3    cve: CVE-2025-7107
 4    summary: SimStudioAI sim handleLocalFile 函数中的路径遍历漏洞。
 5    details: |
 6      SimStudioAI sim 的 `handleLocalFile` 函数中存在一个严重的路径遍历漏洞，影响版本高达 0.1.17。
 7      通过操纵 `filePath` 参数，远程攻击者可以遍历目录，从而可能访问或操纵系统上的任意文件。
 8      该漏洞已被公开披露。
 9    cvss: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
10    severity: MEDIUM
11    security_advise: |
12      1. 应用补丁 `b2450530d1ddd0397a11001a72aa0fde401db16a`。
13      2. 一旦可用，将 SimStudioAI sim 升级到 0.1.17 以上的版本。
14      3. 对文件路径实施严格的输入验证和净化，以防止目录遍历。
15  rule: version <= "0.1.17"
16  references:
17    - https://nvd.nist.gov/vuln/detail/CVE-2025-7107
18    - https://github.com/vri-report/reports/issues/2
19    - https://github.com/vri-report/reports/issues/2#issue-3161840085
20    - https://github.com/simstudioai/sim/pull/437
21    - https://github.com/simstudioai/sim/commit/b2450530d1ddd0397a11001a72aa0fde401db16a
22    - https://vuldb.com/?ctiid.315018
23    - https://vuldb.com/?id.315018
24    - https://vuldb.com/?submit.601043