CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-45554

MediumCVSS 5.3
Published: Updated: Translated: NVD NIST

Summary

NiceGUI to framework UI oparty na Pythonie. W wersjach przed 3.12.0, dwa endpointy FastAPI obsługujące statyczne zasoby per-komponentowe akceptują parametr sub-ścieżki, który może prowadzić do katalogu zamiast pliku, co skutkuje nieobsłużonym błędem RuntimeError.

Risk Assessment

Ponieważ te endpointy są dostępne bez uwierzytelnienia, zdalny atakujący może zwiększyć objętość logów oraz zużycie przestrzeni dyskowej i przepustowości logów na publicznie dostępnych serwerach NiceGUI.

Recommendation

Zaleca się aktualizację do wersji 3.12.0 lub nowszej, aby załatać tę podatność i zminimalizować ryzyko związane z nieautoryzowanym dostępem.

Original NVD description (English source)

NiceGUI is a Python-based UI framework. Prior to version 3.12.0, two FastAPI routes that serve per-component static assets in NiceGUI accept a sub-path parameter that may resolve to a directory rather than a file. Requests that resolve to a directory raise an unhandled RuntimeError inside Starlette's FileResponse, which Uvicorn writes to the server log as a full traceback. Because the routes are reachable without authentication, a remote attacker can amplify log volume and consume disk and log-pipeline capacity on any publicly reachable NiceGUI server. This issue has been patched in version 3.12.0.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS