1  info:
 2    name: simstudioai
 3    cve: CVE-2025-9800
 4    summary: SimStudioAI sim 中的无限制文件上传漏洞。
 5    details: |
 6      SimStudioAI sim 的 `apps/sim/app/api/files/upload/route.ts` 组件中的 `Import` 功能存在一个弱点，允许无限制文件上传。
 7      该漏洞可通过操纵 `File` 参数进行远程利用，可能导致任意文件上传。
 8    cvss: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
 9    severity: MEDIUM
10    security_advise: |
11      1. 应用补丁 `45372aece5e05e04b417442417416a52e90ba174` 以修复此问题。
12      2. 对上传文件实施严格的验证和净化，以防止恶意内容。
13      3. 将文件上传功能限制给受信任用户，并强制执行适当的身份验证和授权。
14  rule: ""
15  references:
16    - https://nvd.nist.gov/vuln/detail/CVE-2025-9800
17    - https://github.com/simstudioai/sim/issues/958
18    - https://github.com/simstudioai/sim/issues/958#issue-3320696271
19    - https://github.com/simstudioai/sim/issues/958#issuecomment-3221311734
20    - https://github.com/simstudioai/sim/commit/45372aece5e05e04b417442417416a52e90ba174
21    - https://vuldb.com/?ctiid.322115
22    - https://vuldb.com/?id.322115
23    - https://vuldb.com/?submit.641129