CVE-2026-3431

Sim Studio AI - MongoDB SSRF and Arbitrary Document Deletion

CVSS 9.8 CRITICALEPSS 0.4%CWE-862

Vexday Risk Score

28Baixo

Decisão SSVC (CISA)

Track

Sem sinal de exploração → monitorar

CVSS 9.8EPSS 0.4%KEV nãoPoC —Nuclei —Metasploit —Patch —

Ciclo de vida

02 mar 2026Publicada no NVD

Recomendação: Monitorar — sem sinal de exploração no momento.

On SimStudio version below to 0.5.74, the MongoDB tool endpoints accept arbitrary connection parameters from the caller without authentication or host restrictions. An attacker can leverage these endpoints to connect to any reachable MongoDB instance and perform unauthorized operations including reading, modifying, and deleting data.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Produtos afetados

SimStudioAI · sim

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://www.tenable.com/security/research/tra-2026-12