प्लेटफ़ॉर्म
python
घटक
nicegui
में ठीक किया गया
3.4.1
3.4.0
CVE-2025-66645 एक पथ पारगमन भेद्यता है जो NiceGUI के App.addmediafiles() फ़ंक्शन में पाई गई है। यह भेद्यता एक दूरस्थ हमलावर को सर्वर फ़ाइल सिस्टम से मनमाना फ़ाइलें पढ़ने की अनुमति देती है। यह भेद्यता NiceGUI के संस्करणों में मौजूद है जो 3.3.1 से कम या उसके बराबर हैं। इस समस्या को NiceGUI संस्करण 3.4.0 में ठीक कर दिया गया है।
इस भेद्यता का शोषण करने वाला एक हमलावर सर्वर फ़ाइल सिस्टम में संवेदनशील जानकारी तक पहुंच प्राप्त कर सकता है, जैसे कि कॉन्फ़िगरेशन फ़ाइलें, पासवर्ड या अन्य गोपनीय डेटा। हमलावर सर्वर के संचालन को बाधित करने या सिस्टम पर नियंत्रण हासिल करने के लिए भी इस जानकारी का उपयोग कर सकता है। पथ पारगमन भेद्यताएँ अक्सर अन्य भेद्यताओं के साथ मिलकर उपयोग की जाती हैं ताकि सिस्टम की सुरक्षा को और कमजोर किया जा सके। इस मामले में, हमलावर पहले इस भेद्यता का शोषण कर सकता है और फिर अन्य भेद्यताओं का उपयोग करके सिस्टम पर नियंत्रण हासिल कर सकता है।
यह भेद्यता सार्वजनिक रूप से ज्ञात है और एक प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद है। इस भेद्यता का अभी तक सक्रिय रूप से शोषण किए जाने की पुष्टि नहीं हुई है, लेकिन इसकी गंभीरता को देखते हुए, इसका शोषण होने की संभावना है। यह भेद्यता CISA KEV सूची में शामिल नहीं है।
Organizations and individuals deploying NiceGUI applications, particularly those serving media files, are at risk. Shared hosting environments where multiple users share the same server are especially vulnerable, as an attacker could potentially exploit this vulnerability to access files belonging to other users.
• python / server:
# Check for vulnerable NiceGUI versions
python -c "import nicegui; print(nicegui.__version__)"• generic web:
curl -I 'http://your-nicegui-app/path/../sensitive/file.txt' # Check for file disclosuredisclosure
एक्सप्लॉइट स्थिति
EPSS
1.06% (77% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-66645 को कम करने के लिए, NiceGUI को संस्करण 3.4.0 या बाद के संस्करण में अपग्रेड करना आवश्यक है। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके फ़ाइल पथों को मान्य किया जा सकता है। यह सुनिश्चित करने के लिए कि हमलावर मनमाना फ़ाइलें नहीं पढ़ सकता है, सभी उपयोगकर्ता इनपुट को ठीक से सैनिटाइज़ किया जाना चाहिए। इसके अतिरिक्त, सर्वर फ़ाइल सिस्टम की अनुमतियों को सीमित किया जाना चाहिए ताकि केवल अधिकृत उपयोगकर्ताओं को ही संवेदनशील फ़ाइलों तक पहुंच प्राप्त हो।
Actualice NiceGUI a la versión 3.4.0 o superior. Esto corrige la vulnerabilidad de path traversal en la función app.add_media_files(). La actualización se puede realizar utilizando el gestor de paquetes pip: `pip install --upgrade nicegui`.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-66645 NiceGUI के App.addmediafiles() फ़ंक्शन में एक पथ पारगमन भेद्यता है, जो हमलावरों को सर्वर फ़ाइल सिस्टम से मनमाना फ़ाइलें पढ़ने की अनुमति देती है।
यदि आप NiceGUI के संस्करण 3.3.1 या उससे कम का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2025-66645 को ठीक करने के लिए, NiceGUI को संस्करण 3.4.0 या बाद के संस्करण में अपग्रेड करें।
इस भेद्यता का अभी तक सक्रिय रूप से शोषण किए जाने की पुष्टि नहीं हुई है, लेकिन इसकी गंभीरता को देखते हुए, इसका शोषण होने की संभावना है।
आप आधिकारिक NiceGUI सलाहकार यहाँ पा सकते हैं: [https://github.com/nicegui/nicegui/security/advisories/CVE-2025-66645](https://github.com/nicegui/nicegui/security/advisories/CVE-2025-66645)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।