Katalog CVE

CVE-2026-45553

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

NiceGUI to framework UI oparty na Pythonie. W wersjach przed 3.12.0, funkcja ui.restructured_text() renderuje reStructuredText po stronie serwera z użyciem Docutils, nie wyłączając dyrektyw wstawiania plików, co pozwala atakującym na odczyt lokalnych plików.

Ocena ryzyka

Organizacje mogą być narażone na wyciek danych, jeśli aplikacje NiceGUI przetwarzają niezaufane dane wejściowe, co może prowadzić do nieautoryzowanego dostępu do plików lokalnych serwera.

Rekomendacja

Zaleca się aktualizację NiceGUI do wersji 3.12.0 lub nowszej oraz zapewnienie, że aplikacje przekazują tylko zaufane, statyczne ciągi do funkcji ui.restructured_text().

Oryginalny opis (angielski, źródło NVD)

NiceGUI is a Python-based UI framework. Prior to version 3.12.0, ui.restructured_text() renders reStructuredText server-side with Docutils without disabling file insertion directives. When a NiceGUI application passes attacker-controlled content to ui.restructured_text(), an attacker can use standard Docutils directives (include, csv-table with :file:, raw with :file:) to read local files readable by the NiceGUI server process. Applications that only pass trusted static strings to ui.restructured_text() are not affected. This issue has been patched in version 3.12.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS