CVE-2026-45553
WysokieCVSS 7.5Streszczenie
NiceGUI to framework UI oparty na Pythonie. W wersjach przed 3.12.0, funkcja ui.restructured_text() renderuje reStructuredText po stronie serwera z użyciem Docutils, nie wyłączając dyrektyw wstawiania plików, co pozwala atakującym na odczyt lokalnych plików.
Ocena ryzyka
Organizacje mogą być narażone na wyciek danych, jeśli aplikacje NiceGUI przetwarzają niezaufane dane wejściowe, co może prowadzić do nieautoryzowanego dostępu do plików lokalnych serwera.
Rekomendacja
Zaleca się aktualizację NiceGUI do wersji 3.12.0 lub nowszej oraz zapewnienie, że aplikacje przekazują tylko zaufane, statyczne ciągi do funkcji ui.restructured_text().
Oryginalny opis (angielski, źródło NVD)
NiceGUI is a Python-based UI framework. Prior to version 3.12.0, ui.restructured_text() renders reStructuredText server-side with Docutils without disabling file insertion directives. When a NiceGUI application passes attacker-controlled content to ui.restructured_text(), an attacker can use standard Docutils directives (include, csv-table with :file:, raw with :file:) to read local files readable by the NiceGUI server process. Applications that only pass trusted static strings to ui.restructured_text() are not affected. This issue has been patched in version 3.12.0.

