FOFA自检语句:body="content="Sim"" && body="/_next"
漏洞描述:
SIM是一个用于构建和部署 AI 代理工作流程的开源平台。
SIM 项目的 /api/function/execute 接口允许可控输入 code 参数被传入后直接在服务器端执行,导致远程任意代码执行(RCE),攻击者无需认证即可通过构造恶意 JSON 请求触发该接口执行任意命令。
目前官方未公布补丁版本,漏洞在野利用风险较高,请优先处置修复。
临时修复方案:关闭外网访问服务
本次共更新1个热点漏洞,Goby 实战化利用展示效果如下:
合集:漏洞情报