VDB-338430 · Отправить #710255 · CVE-2025-15099

simstudioai sim до 0.5.27 CRON Secret internal.ts INTERNAL_API_SECRET слабая аутентификация

CVSS Meta Temp Score	Текущая цена эксплойта (≈)	Балл интереса CTI
7.9	$0-$5k	0.71

СводкаИнформация

Уязвимость, классифицированная как критический, была найдена в simstudioai sim до 0.5.27. Используемая неизвестная функция файла apps/sim/lib/auth/internal.ts компонента CRON Secret Handler. Выполнение манипуляции с аргументом INTERNAL_API_SECRET приводит к слабая аутентификация. Эта уязвимость известна как CVE-2025-15099. Атаку можно инициировать удаленно. Также существует доступный эксплойт. Рекомендуется применить патч для устранения этой проблемы.

ПодробностиИнформация

Уязвимость, классифицированная как критический, была найдена в simstudioai sim до 0.5.27. Используемая неизвестная функция файла apps/sim/lib/auth/internal.ts компонента CRON Secret Handler. Выполнение манипуляции с аргументом INTERNAL_API_SECRET приводит к слабая аутентификация. Указание проблемы через CWE ведет к CWE-287. Данная уязвимость была опубликована. Консультация размещена для скачивания на gist.github.com.

Эта уязвимость известна как CVE-2025-15099. Атаку можно инициировать удаленно. Техническая информация предоставлена. Данная уязвимость менее популярна, чем в среднем. Также существует доступный эксплойт. Эксплойт доступен широкой публике и может быть использован. В настоящее время текущая цена эксплойта может составлять примерно USD $0-$5k.

Объявляется Доказательство концепции. Эксплойт доступен для загрузки по адресу gist.github.com.

Патч называется e359dc2946b12ed5e45a0ec9c95ecf91bd18502a. Исправление ошибки доступно для загрузки на github.com. Рекомендуется применить патч для устранения этой проблемы.

ПродуктИнформация

Поставщик

simstudioai

Имя

Версия

Лицензия

Открытый исходный код

Веб-сайт

Продукт: https://github.com/simstudioai/sim/

CPE 2.3Информация

CPE 2.2Информация

CVSSv4Информация

VulDB Вектор: 🔒
VulDB Надёжность: 🔍

CNA CVSS-B Score: 🔒
CNA CVSS-BT Score: 🔒
CNA Вектор: 🔒

CVSSv3Информация

VulDB Meta Base Score: 8.1
VulDB Meta Temp Score: 7.9

VulDB Базовый балл: 7.3
VulDB Временная оценка: 6.6
VulDB Вектор: 🔒
VulDB Надёжность: 🔍

NVD Базовый балл: 9.8
NVD Вектор: 🔒

CNA Базовый балл: 7.3
CNA Вектор: 🔒

CVSSv2Информация

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Вектор	Сложность	Аутентификация	Конфиденциальность	Целостность	Доступность
Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать
Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать
Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать

VulDB Базовый балл: 🔒
VulDB Временная оценка: 🔒
VulDB Надёжность: 🔍

ЭксплуатацияИнформация

Класс: слабая аутентификация
CWE: CWE-287
CAPEC: 🔒
ATT&CK: 🔒

Физический: Нет
Локальный: Нет
Удалённый: Да

Доступность: 🔒
Доступ: публичный
Статус: Доказательство концепции
Скачать: 🔒

EPSS Score: 🔒
EPSS Percentile: 🔒

Прогноз цен: 🔍
Оценка текущей цены: 🔒

0-Day	Разблокировать	Разблокировать	Разблокировать	Разблокировать
Сегодня	Разблокировать	Разблокировать	Разблокировать	Разблокировать

Разведка угрозИнформация

Интерес: 🔍
Активные акторы: 🔍
Активные группы APT: 🔍

КонтрмерыИнформация

Рекомендация: Патч
Статус: 🔍

0-дневное время: 🔒

Патч: e359dc2946b12ed5e45a0ec9c95ecf91bd18502a

ХронологияИнформация

25.12.2025 Консультация опубликована
25.12.2025 +0 дни Запись VulDB создана
09.01.2026 +15 дни Последнее обновление VulDB

ИсточникиИнформация

Продукт: github.com

Консультация: gist.github.com
Статус: Подтверждённый
Подтверждение: 🔒

CVE: CVE-2025-15099 (🔒)
GCVE (CVE): GCVE-0-2025-15099
GCVE (VulDB): GCVE-100-338430
EUVD: 🔒
scip Labs: https://www.scip.ch/en/?labs.20161013

ВходИнформация

Создано: 25.12.2025 17:23
Обновлено: 09.01.2026 11:22
Изменения: 25.12.2025 17:23 (60), 26.12.2025 05:23 (30), 26.12.2025 06:32 (1), 09.01.2026 11:22 (11)
Завершенный: 🔍
Отправитель: 28Hus
Cache ID: 216::103