1  info:
 2    name: simstudioai
 3    cve: CVE-2025-9805
 4    summary: SimStudioAI sim 由于对图像代理请求处理不当，存在服务器端请求伪造 (SSRF) 漏洞。
 5    details: |
 6      SimStudioAI sim 在提交版本 51b1e97fa22c48d144aef75f8ca31a74ad2cfed2 之前存在服务器端请求伪造 (SSRF) 漏洞。
 7      该漏洞存在于对 `apps/sim/app/api/proxy/image/route.ts` 的请求处理中，允许远程攻击者
 8      强制服务器向任意域发出请求。该漏洞的利用已公开。
 9    cvss: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
10    severity: HIGH
11    security_advise: |
12      1. 应用标识为 `3424a338b763115f0269b209e777608e4cd31785` 的补丁。
13      2. 对服务器端请求中使用的 URL 或参数实施严格的验证和净化。
14      3. 考虑为服务器端请求使用允许域的白名单。
15  rule: ""
16  references:
17    - https://nvd.nist.gov/vuln/detail/CVE-2025-9805
18    - https://github.com/simstudioai/sim/issues/1128
19    - https://github.com/simstudioai/sim/issues/1128#issue-3349260976
20    - https://github.com/simstudioai/sim/issues/1128#issuecomment-3226867869
21    - https://github.com/simstudioai/sim/commit/3424a338b763115f0269b209e777608e4cd31785
22    - https://vuldb.com/?ctiid.322129
23    - https://vuldb.com/?id.322129
24    - https://vuldb.com/?submit.640821