发布日期：2025-08-08
更新日期：2025-12-25

受影响系统：

Tiny-Scientist Tiny-Scientist <= 0.1.1

描述：

---

CVE(CAN) ID: CVE-2025-55149

TinyScientist是U Lab @UIUC开源的一个为开发人员设计的构建研究代理的轻量级框架。
TinyScientist 0.1.1及之前版本的backend/app.py中的review_paper函数存在路径遍历漏洞，攻击者可利用该漏洞通过提供特制的文件路径绕过既定安全限制，访问任意PDF文件和敏感文档。

<**>

建议：

---

厂商补丁：

Tiny-Scientist
--------------
厂商尚未提供漏洞修复方案，请关注厂商主页更新：
https://github.com/ulab-uiuc/tiny-scientist/security/advisories/GHSA-rrgf-hcr9-jq6h

浏览次数：95
严重程度：0（网友投票）