CVE-2025-15099 - 漏洞详情

CVE-2025-15099 (CNNVD-202512-4821)

MEDIUM

中文标题:

Sim Studio 安全漏洞

英文标题:

simstudioai sim CRON Secret internal.ts improper authentication

CVSS分数: 6.9

发布时间: 2025-12-26 04:02:07

漏洞类型: 其他

状态: PUBLISHED

数据质量分数: 0.40

数据版本: v3

漏洞描述

中文描述:

Sim Studio是Sim Studio开源的一个AI代理工作流构建器。 Sim Studio 0.5.27及之前版本存在安全漏洞，该漏洞源于对文件apps/sim/lib/auth/internal.ts中参数INTERNAL_API_SECRET的错误操作，可能导致身份验证不当。

英文描述:

A vulnerability was identified in simstudioai sim up to 0.5.27. This vulnerability affects unknown code of the file apps/sim/lib/auth/internal.ts of the component CRON Secret Handler. The manipulation of the argument INTERNAL_API_SECRET leads to improper authentication. It is possible to initiate the attack remotely. The exploit is publicly available and might be used. The identifier of the patch is e359dc2946b12ed5e45a0ec9c95ecf91bd18502a. Applying a patch is the recommended action to fix this issue.

CWE类型:

CWE-287

受影响产品

厂商	产品	版本	版本范围	平台	CPE
simstudioai	sim	0.5.0	-	-	`cpe:2.3:a:simstudioai:sim:0.5.0:::::::*`
simstudioai	sim	0.5.1	-	-	`cpe:2.3:a:simstudioai:sim:0.5.1:::::::*`
simstudioai	sim	0.5.2	-	-	`cpe:2.3:a:simstudioai:sim:0.5.2:::::::*`
simstudioai	sim	0.5.3	-	-	`cpe:2.3:a:simstudioai:sim:0.5.3:::::::*`
simstudioai	sim	0.5.4	-	-	`cpe:2.3:a:simstudioai:sim:0.5.4:::::::*`
simstudioai	sim	0.5.5	-	-	`cpe:2.3:a:simstudioai:sim:0.5.5:::::::*`
simstudioai	sim	0.5.6	-	-	`cpe:2.3:a:simstudioai:sim:0.5.6:::::::*`
simstudioai	sim	0.5.7	-	-	`cpe:2.3:a:simstudioai:sim:0.5.7:::::::*`
simstudioai	sim	0.5.8	-	-	`cpe:2.3:a:simstudioai:sim:0.5.8:::::::*`
simstudioai	sim	0.5.9	-	-	`cpe:2.3:a:simstudioai:sim:0.5.9:::::::*`
simstudioai	sim	0.5.10	-	-	`cpe:2.3:a:simstudioai:sim:0.5.10:::::::*`
simstudioai	sim	0.5.11	-	-	`cpe:2.3:a:simstudioai:sim:0.5.11:::::::*`
simstudioai	sim	0.5.12	-	-	`cpe:2.3:a:simstudioai:sim:0.5.12:::::::*`
simstudioai	sim	0.5.13	-	-	`cpe:2.3:a:simstudioai:sim:0.5.13:::::::*`
simstudioai	sim	0.5.14	-	-	`cpe:2.3:a:simstudioai:sim:0.5.14:::::::*`
simstudioai	sim	0.5.15	-	-	`cpe:2.3:a:simstudioai:sim:0.5.15:::::::*`
simstudioai	sim	0.5.16	-	-	`cpe:2.3:a:simstudioai:sim:0.5.16:::::::*`
simstudioai	sim	0.5.17	-	-	`cpe:2.3:a:simstudioai:sim:0.5.17:::::::*`
simstudioai	sim	0.5.18	-	-	`cpe:2.3:a:simstudioai:sim:0.5.18:::::::*`
simstudioai	sim	0.5.19	-	-	`cpe:2.3:a:simstudioai:sim:0.5.19:::::::*`
simstudioai	sim	0.5.20	-	-	`cpe:2.3:a:simstudioai:sim:0.5.20:::::::*`
simstudioai	sim	0.5.21	-	-	`cpe:2.3:a:simstudioai:sim:0.5.21:::::::*`
simstudioai	sim	0.5.22	-	-	`cpe:2.3:a:simstudioai:sim:0.5.22:::::::*`
simstudioai	sim	0.5.23	-	-	`cpe:2.3:a:simstudioai:sim:0.5.23:::::::*`
simstudioai	sim	0.5.24	-	-	`cpe:2.3:a:simstudioai:sim:0.5.24:::::::*`
simstudioai	sim	0.5.25	-	-	`cpe:2.3:a:simstudioai:sim:0.5.25:::::::*`
simstudioai	sim	0.5.26	-	-	`cpe:2.3:a:simstudioai:sim:0.5.26:::::::*`
simstudioai	sim	0.5.27	-	-	`cpe:2.3:a:simstudioai:sim:0.5.27:::::::*`
sim	sim	*	-	-	`cpe:2.3:a:sim:sim::::::::`

解决方案

中文解决方案:

（暂无数据）

英文解决方案:

（暂无数据）

临时解决方案:

（暂无数据）

参考链接

VDB-338430 | simstudioai sim CRON Secret internal.ts improper authentication vdb-entry
cve.org

访问

VDB-338430 | CTI Indicators (IOB, IOC, IOA) signature
cve.org

访问

Submit #710255 | https://github.com/simstudioai https://github.com/simstudioai/sim ≤ v0.5.21 Authentication Bypass by Primary Weakness third-party-advisory
cve.org

访问

无标题 related
cve.org

访问

无标题 issue-tracking
cve.org

访问

无标题 exploit
cve.org

访问

无标题 patch
cve.org

访问

CVSS评分详情

4.0 (cna)

MEDIUM

6.9

CVSS向量: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N/E:P

机密性

LOW

完整性

LOW

可用性

LOW

后续系统影响 (Subsequent):

机密性

NONE

完整性

NONE

可用性

NONE

3.1 (cna)

HIGH

7.3

CVSS向量: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L/E:P/RL:O/RC:C

机密性

LOW

完整性

LOW

可用性

LOW

3.0 (cna)

HIGH

7.3

CVSS向量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L/E:P/RL:O/RC:C

机密性

LOW

完整性

LOW

可用性

LOW

2.0 (cna)

HIGH

7.5

CVSS向量: AV:N/AC:L/Au:N/C:P/I:P/A:P/E:POC/RL:OF/RC:C

机密性

PARTIAL

完整性

PARTIAL

可用性

PARTIAL

时间信息

发布时间:

2025-12-26 04:02:07

修改时间:

2025-12-26 15:04:35

创建时间:

2026-01-12 02:11:12

更新时间:

2026-01-20 03:10:44

利用信息

暂无可利用代码信息

数据源详情

数据源	记录ID	版本	提取时间
CVE	`cve_CVE-2025-15099`	2025-12-27 03:42:50	2026-01-12 02:11:12
NVD	`nvd_CVE-2025-15099`	2026-01-09 03:00:25	2026-01-12 02:27:32
CNNVD	`cnnvd_CNNVD-202512-4821`	2026-01-11 06:15:04	2026-01-12 02:38:07

版本与语言

当前版本: v3

主要语言: EN

支持语言:

ZH EN

安全公告

暂无安全公告信息

变更历史

v3 CNNVD

2026-01-12 02:38:07

vulnerability_type: 未提取 → 其他; cnnvd_id: 未提取 → CNNVD-202512-4821; data_sources: ['cve', 'nvd'] → ['cnnvd', 'cve', 'nvd']

查看详细变更

vulnerability_type: 未提取 -> 其他
cnnvd_id: 未提取 -> CNNVD-202512-4821
data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']

v2 NVD

2026-01-12 02:27:32

affected_products_count: 28 → 29; data_sources: ['cve'] → ['cve', 'nvd']

查看详细变更

affected_products_count: 28 -> 29
data_sources: ['cve'] -> ['cve', 'nvd']

CVE-2025-15099 (CNNVD-202512-4821)

中文标题:

Sim Studio 安全漏洞

英文标题:

simstudioai sim CRON Secret internal.ts improper authentication

漏洞描述

中文描述:

英文描述:

CWE类型:

标签:

受影响产品

解决方案

中文解决方案:

英文解决方案:

临时解决方案:

参考链接

CVSS评分详情

4.0 (cna)

3.1 (cna)

3.0 (cna)

2.0 (cna)

时间信息

利用信息

数据源详情

版本与语言

安全公告

变更历史