CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-45553

HighCVSS 7.5
Published: Updated: Translated: NVD NIST

Summary

NiceGUI to framework UI oparty na Pythonie. W wersjach przed 3.12.0, funkcja ui.restructured_text() renderuje reStructuredText po stronie serwera z użyciem Docutils, nie wyłączając dyrektyw wstawiania plików, co pozwala atakującym na odczyt lokalnych plików.

Risk Assessment

Organizacje mogą być narażone na wyciek danych, jeśli aplikacje NiceGUI przetwarzają niezaufane dane wejściowe, co może prowadzić do nieautoryzowanego dostępu do plików lokalnych serwera.

Recommendation

Zaleca się aktualizację NiceGUI do wersji 3.12.0 lub nowszej oraz zapewnienie, że aplikacje przekazują tylko zaufane, statyczne ciągi do funkcji ui.restructured_text().

Original NVD description (English source)

NiceGUI is a Python-based UI framework. Prior to version 3.12.0, ui.restructured_text() renders reStructuredText server-side with Docutils without disabling file insertion directives. When a NiceGUI application passes attacker-controlled content to ui.restructured_text(), an attacker can use standard Docutils directives (include, csv-table with :file:, raw with :file:) to read local files readable by the NiceGUI server process. Applications that only pass trusted static strings to ui.restructured_text() are not affected. This issue has been patched in version 3.12.0.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS