一、 漏洞 CVE-2025-9805 基础信息
漏洞信息
                                        # SimStudioAI route.ts 服务器请求伪造漏洞

## 概述

在 SimStudioAI sim 产品中发现了一个漏洞,提交哈希为 `51b1e97fa22c48d144aef75f8ca31a74ad2cfed2` 及之前版本均受影响。该漏洞存在于文件 `apps/sim/app/api/proxy/image/route.ts` 的某些未知处理逻辑中。

## 影响版本

- 所有提交哈希早于或等于 `51b1e97fa22c48d144aef75f8ca31a74ad2cfed2` 的版本。

补丁提交哈希为:`3424a338b763115f0269b209e777608e4cd31785`。

⚠️ 由于产品采用滚动发布(rolling release)方式,未公布具体受影响或修复版本号。

## 漏洞细节

- **漏洞类型**:服务器端请求伪造(SSRF)
- **攻击位置**:`apps/sim/app/api/proxy/image/route.ts`
- **攻击方式**:远程攻击者可通过操纵请求触发 SSRF
- **利用情况**:漏洞已被公开利用

## 影响

攻击者可通过网络远程利用该漏洞,可能导致服务器发起非预期的内部请求,进而造成信息泄露、服务滥用或其他安全风险。建议立即应用提供的补丁以确保安全。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
SimStudioAI sim route.ts server-side request forgery
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability was found in SimStudioAI sim up to 51b1e97fa22c48d144aef75f8ca31a74ad2cfed2. This issue affects some unknown processing of the file apps/sim/app/api/proxy/image/route.ts. The manipulation results in server-side request forgery. The attack may be performed from remote. The exploit has been made public and could be used. This product utilizes a rolling release system for continuous delivery, and as such, version information for affected or updated releases is not disclosed. The patch is identified as 3424a338b763115f0269b209e777608e4cd31785. Applying a patch is advised to resolve this issue.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
服务端请求伪造(SSRF)
来源:美国国家漏洞数据库 NVD
漏洞标题
Sim Studio 代码问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Sim Studio是Sim Studio开源的一个AI代理工作流构建器。 Sim Studio存在代码问题漏洞,该漏洞源于文件apps/sim/app/api/proxy/image/route.ts的错误操作导致服务器端请求伪造。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-9805 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-9805 的情报信息

  • 标题: [BUG] Security Vulnerability · Issue #1128 · simstudioai/sim -- 🔗来源链接

    标签: issue-tracking

    神龙速读
    [BUG] Security Vulnerability · Issue #1128 · simstudioai/sim

  • 标题: [BUG] Security Vulnerability · Issue #1128 · simstudioai/sim -- 🔗来源链接

    标签: issue-tracking

    神龙速读
    [BUG] Security Vulnerability · Issue #1128 · simstudioai/sim

  • 标题: [BUG] Security Vulnerability · Issue #1128 · simstudioai/sim -- 🔗来源链接

    标签: exploit issue-tracking

    神龙速读
    [BUG] Security Vulnerability · Issue #1128 · simstudioai/sim

  • 标题: fix(security): fixed SSRF vulnerability (#1149) · simstudioai/sim@3424a33 · GitHub -- 🔗来源链接

    标签: patch

    神龙速读
    fix(security): fixed SSRF vulnerability (#1149) · simstudioai/sim@3424a33 · GitHub

  • 标题: 429 Too Many Requests -- 🔗来源链接

    标签: signature permissions-required

    神龙速读
    429 Too Many Requests

  • 标题: CVE-2025-9805 SimStudioAI sim route.ts server-side request forgery (Issue 1128) -- 🔗来源链接

    标签: vdb-entry

    神龙速读
    CVE-2025-9805 SimStudioAI sim route.ts server-side request forgery (Issue 1128)

  • 标题: Submit #640821: simstudioai sim latest Server-side request forgery -- 🔗来源链接

    标签: third-party-advisory

    神龙速读
    Submit #640821: simstudioai sim latest Server-side request forgery
  • https://nvd.nist.gov/vuln/detail/CVE-2025-9805
四、漏洞 CVE-2025-9805 的评论

暂无评论

发表评论