Goby 漏洞安全通告| 【开源AI大模型】SIM /api/function/execute 代码执行漏洞
·
漏洞名称:SIM /api/function/execute 代码执行漏洞
风险等级:
高风险
漏洞描述:
SIM是一个用于构建和部署 AI 代理工作流程的开源平台。
SIM 项目的 /api/function/execute 接口允许可控输入 code 参数被传入后直接在服务器端执行,导致远程任意代码执行(RCE),攻击者无需认证即可通过构造恶意 JSON 请求触发该接口执行任意命令。
FOFA自检语句:
body=“content=“Sim”” && body=“/_next”
目前官方未公布补丁版本,漏洞在野利用风险较高,请优先处置修复。
临时修复方案:
关闭外网访问服务
漏洞检测工具:
【Goby】-资产绘测及实战化漏洞扫描工具,Goby安全团队已成功复现,实战漏洞验证效果如图所示(标准版及企业版已支持检测):
查看Goby更多漏洞:Goby历史漏洞合集
更多推荐


所有评论(0)