1  info:
 2    name: simstudioai
 3    cve: CVE-2025-7114
 4    summary: SimStudioAI 文件上传中缺少身份验证导致远程代码执行。
 5    details: |
 6      SimStudioAI 在提交 37786d371e17d35e0764e1b5cd519d873d90d97b 之前存在一个严重漏洞。
 7      Session Handler 组件中 `apps/sim/app/api/files/upload/route.ts` 文件内的 `POST` 函数
 8      在处理 `Request` 参数时缺少身份验证。这允许远程利用，
 9      可能导致未经授权的文件上传和远程代码执行。此漏洞利用已被公开披露。
10    cvss: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
11    severity: CRITICAL
12    security_advise: |
13      1. 立即限制对受影响的 SimStudioAI 实例的网络访问。
14      2. 为所有 API 端点，特别是文件上传功能，实施健壮的身份验证机制。
15      3. 监控任何未经授权的文件上传或可疑活动。
16      4. 联系供应商获取官方补丁或临时解决方案，因为他们尚未对披露做出回应。
17  rule: ""
18  references:
19    - https://nvd.nist.gov/vuln/detail/CVE-2025-7114
20    - https://github.com/vri-report/reports/issues/3
21    - https://vuldb.com/?ctiid.315025
22    - https://vuldb.com/?id.315025
23    - https://vuldb.com/?submit.604898