SimStudio - CVE-2026-3431
Date de publication :
Il s’agit d’une vulnérabilité dans SimStudio au niveau des endpoints de l’outil MongoDB.
SimStudio est une plateforme (Sim Studio AI / SimStudio) exposant des fonctionnalités “tool endpoints”, dont des endpoints dédiés à l’usage de MongoDB.
Ces endpoints acceptent des paramètres de connexion fournis par l’appelant sans exiger d’authentification et sans appliquer de restrictions d’hôte.
Cela permet à un attaquant de détourner l’interface pour se connecter à des instances MongoDB accessibles depuis l’environnement où SimStudio est déployé et d’y réaliser des opérations non autorisées (lecture, modification, suppression de données).
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
• Atteinte à la confidentialité des données
• Atteinte à l'intégrité des données
• Déni de service (à distance)
Exploitation
CWE-862 : Missing Authorization
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
SimStudio versions antérieures à 0.5.74.