Plataforma
python
Componente
nicegui
Corregido en
3.4.1
3.4.0
Se ha identificado una vulnerabilidad de Path Traversal en NiceGUI, una herramienta de desarrollo web en Python. Esta falla permite a un atacante remoto leer archivos arbitrarios del sistema de archivos del servidor. La vulnerabilidad afecta a versiones de NiceGUI menores o iguales a 3.3.1. La solución recomendada es actualizar a la versión 3.4.0.
La vulnerabilidad de Path Traversal en NiceGUI permite a un atacante, mediante la manipulación de la ruta de los archivos multimedia, acceder a archivos sensibles almacenados en el servidor. Esto podría incluir información de configuración, claves API, contraseñas o incluso código fuente. Un atacante podría utilizar esta vulnerabilidad para obtener una visión completa de la infraestructura del servidor y potencialmente comprometerla. La falta de validación adecuada en la función App.addmediafiles() es la causa raíz de esta vulnerabilidad, permitiendo la inyección de caracteres especiales que escapan del directorio previsto.
Esta vulnerabilidad fue descubierta por Seungbin Yang, un estudiante de ciberseguridad. No se ha encontrado información sobre su inclusión en el KEV de CISA ni sobre campañas de explotación activas. Existe un Proof of Concept (PoC) público que demuestra la vulnerabilidad, lo que aumenta el riesgo de explotación. La publicación de la vulnerabilidad se realizó el 9 de diciembre de 2025.
Organizations and individuals deploying NiceGUI applications, particularly those serving media files, are at risk. Shared hosting environments where multiple users share the same server are especially vulnerable, as an attacker could potentially exploit this vulnerability to access files belonging to other users.
• python / server:
# Check for vulnerable NiceGUI versions
python -c "import nicegui; print(nicegui.__version__)"• generic web:
curl -I 'http://your-nicegui-app/path/../sensitive/file.txt' # Check for file disclosuredisclosure
Estado del Exploit
EPSS
1.06% (77% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar NiceGUI a la versión 3.4.0, que corrige esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Una posible solución temporal es restringir el acceso al directorio de archivos multimedia a través de un firewall o proxy inverso, permitiendo solo el acceso desde fuentes confiables. Además, se debe revisar y endurecer la configuración del servidor para limitar los permisos de lectura de los archivos. Después de la actualización, confirme la corrección revisando los logs del servidor en busca de intentos de acceso no autorizados a archivos.
Actualice NiceGUI a la versión 3.4.0 o superior. Esto corrige la vulnerabilidad de path traversal en la función app.add_media_files(). La actualización se puede realizar utilizando el gestor de paquetes pip: `pip install --upgrade nicegui`.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-66645 is a Path Traversal vulnerability in NiceGUI versions 3.3.1 and earlier, allowing attackers to read arbitrary files on the server.
You are affected if you are using NiceGUI version 3.3.1 or earlier. Upgrade to version 3.4.0 to resolve the vulnerability.
Upgrade NiceGUI to version 3.4.0 or later. As a temporary workaround, implement a WAF rule to block directory traversal attempts.
There are currently no reports of active exploitation campaigns, but a PoC is likely available.
Refer to the NiceGUI repository and release notes for the official advisory and details on the fix.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.