漏洞名称:SIM /api/function/execute 代码执行漏洞

风险等级:

高风险

漏洞描述:

SIM是一个用于构建和部署 AI 代理工作流程的开源平台。
SIM 项目的 /api/function/execute 接口允许可控输入 code 参数被传入后直接在服务器端执行,导致远程任意代码执行(RCE),攻击者无需认证即可通过构造恶意 JSON 请求触发该接口执行任意命令。

FOFA自检语句:

body=“content=“Sim”” && body=“/_next”

目前官方未公布补丁版本,漏洞在野利用风险较高,请优先处置修复。

临时修复方案:

关闭外网访问服务

漏洞检测工具:

【Goby】-资产绘测及实战化漏洞扫描工具,Goby安全团队已成功复现,实战漏洞验证效果如图所示(标准版及企业版已支持检测):
在这里插入图片描述
查看Goby更多漏洞:Goby历史漏洞合集

Logo

中国智能体开发者社区,聚焦智能体与大模型开发,提供前沿资讯、实用工具链、开源项目及行业案例。通过技术沙龙、开发者大赛等活动,促进经验交流与协作,助力开发者快速构建创新智能应用。

更多推荐