关键信息 漏洞概述 漏洞类型: 路径遍历漏洞 (CWE-22) 影响的包: tiny-scientist 受影响版本: <=1.1 修复版本: 无 严重性: 高 CVE ID: CVE-2025-55149 描述 在 文件中的 函数中发现了一个关键路径遍历漏洞。该漏洞允许恶意用户通过提供精心设计的文件路径来访问服务器上的任意 PDF 文件,从而绕过预期的安全限制。 影响 攻击者可以读取对服务器进程可访问的任何 PDF 文件。 可能访问目标目录之外的敏感文档。 对服务器文件系统结构进行侦察。 漏洞代码 问题出现在 函数大约第 744 行: 概念验证 致谢 此漏洞由 Ruizhe 发现并报告。