Plateforme
python
Composant
nicegui
Corrigé dans
3.4.1
3.4.0
Une vulnérabilité de traversal de chemin (Path Traversal) a été découverte dans NiceGUI, affectant les versions 3.3.1 et antérieures. Cette faille permet à un attaquant distant de lire des fichiers arbitraires sur le système de fichiers du serveur, compromettant potentiellement la confidentialité des données sensibles. La version corrigée, 3.4.0, est désormais disponible pour remédier à ce problème.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de contourner les mécanismes de sécurité et d'accéder à des fichiers situés en dehors du répertoire prévu pour le service de fichiers multimédias. Cela pourrait inclure des fichiers de configuration contenant des informations sensibles, des clés API, des mots de passe ou d'autres données confidentielles. Un attaquant pourrait également accéder à des fichiers contenant du code source, révélant ainsi des informations sur l'architecture de l'application et d'autres vulnérabilités potentielles. Le risque est exacerbé si l'application NiceGUI est déployée dans un environnement où elle a accès à des ressources système critiques.
Cette vulnérabilité a été découverte et signalée par Seungbin Yang, un étudiant en cybersécurité. Un preuve de concept (PoC) a été développé pour démontrer l'exploitation de la faille. La vulnérabilité n'a pas encore été ajoutée au catalogue KEV de CISA, et il n'y a pas d'indications d'exploitation active à grande échelle. La publication de la CVE a eu lieu le 9 décembre 2025.
Organizations and individuals deploying NiceGUI applications, particularly those serving media files, are at risk. Shared hosting environments where multiple users share the same server are especially vulnerable, as an attacker could potentially exploit this vulnerability to access files belonging to other users.
• python / server:
# Check for vulnerable NiceGUI versions
python -c "import nicegui; print(nicegui.__version__)"• generic web:
curl -I 'http://your-nicegui-app/path/../sensitive/file.txt' # Check for file disclosuredisclosure
Statut de l'Exploit
EPSS
1.06% (percentile 77%)
CISA SSVC
Vecteur CVSS
La solution principale consiste à mettre à jour NiceGUI vers la version 3.4.0 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible de mettre en œuvre des mesures d'atténuation temporaires. Limitez l'accès au répertoire de fichiers multimédias en utilisant des règles de pare-feu ou de proxy inverse. Assurez-vous que le répertoire de fichiers multimédias n'est pas accessible directement depuis l'extérieur. Surveillez les journaux d'accès pour détecter des tentatives d'accès à des fichiers en dehors du répertoire prévu. Bien que non idéale, une configuration restrictive des permissions sur le système de fichiers peut limiter l'impact de l'exploitation.
Actualice NiceGUI a la versión 3.4.0 o superior. Esto corrige la vulnerabilidad de path traversal en la función app.add_media_files(). La actualización se puede realizar utilizando el gestor de paquetes pip: `pip install --upgrade nicegui`.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-66645 is a Path Traversal vulnerability in NiceGUI versions 3.3.1 and earlier, allowing attackers to read arbitrary files on the server.
You are affected if you are using NiceGUI version 3.3.1 or earlier. Upgrade to version 3.4.0 to resolve the vulnerability.
Upgrade NiceGUI to version 3.4.0 or later. As a temporary workaround, implement a WAF rule to block directory traversal attempts.
There are currently no reports of active exploitation campaigns, but a PoC is likely available.
Refer to the NiceGUI repository and release notes for the official advisory and details on the fix.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.