HIGHCVE-2025-66645CVSS 7.5

NiceGUI の app.add_media_files() にパス・トラバーサル脆弱性があり、任意のファイル読み出しが可能

Q: CVE-2025-66645 — パストレーバーサルはNiceGUIで何ですか？

CVE-2025-66645は、NiceGUIの`add_media_files()`メソッドにおけるパストラバーサル脆弱性であり、攻撃者がサーバー上の任意のファイルを読み取れる可能性があります。

Q: CVE-2025-66645はNiceGUIで影響を受けますか？

はい、NiceGUIのバージョンが3.3.1以下の場合、この脆弱性の影響を受けます。

Q: CVE-2025-66645はNiceGUIでどう修正しますか？

NiceGUIをバージョン3.4.0にアップデートすることで、この脆弱性を修正できます。

Q: CVE-2025-66645は積極的に悪用されていますか？

現時点では公的なエクスプロイトコードは確認されていませんが、脆弱性の性質上、悪用される可能性はあります。

Q: CVE-2025-66645の公式NiceGUIアドバイザリはどこで入手できますか？

公式アドバイザリは、NiceGUIのGitHubリポジトリまたは公式ウェブサイトで確認できます。

プラットフォーム

python

コンポーネント

nicegui

修正版

3.4.1

3.4.0

AI Confidence: highNVDEPSS 1.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-66645は、Python製のWebフレームワークNiceGUIのaddmediafiles()メソッドにおけるパストラバーサル脆弱性です。この脆弱性を悪用されると、攻撃者はサーバーファイルシステム上の任意のファイルを読み取ることが可能となり、機密情報の漏洩につながる可能性があります。影響を受けるバージョンは3.3.1以下であり、開発者はバージョン3.4.0へのアップデートを推奨しています。

影響と攻撃シナリオ

この脆弱性は、攻撃者がNiceGUIアプリケーションのaddmediafiles()関数を悪用することで、サーバー上のファイルシステムを自由に閲覧することを可能にします。攻撃者は、ファイルパスを操作することで、本来アクセスできないはずの機密ファイル（設定ファイル、ソースコード、データベースダンプなど）を読み出すことができます。これにより、認証情報の漏洩、システム設定の改ざん、さらにはサーバー全体の制御権の奪取といった深刻な被害が発生する可能性があります。この脆弱性は、類似のパストラバーサル脆弱性と共通の攻撃パターンを持ち、攻撃者はディレクトリトラバーサルシーケンス（例：../）を挿入することで、ファイルパスを意図的に操作します。

悪用の状況

この脆弱性は、2025年12月9日に公開されました。現時点では、公的なエクスプロイトコードは確認されていませんが、脆弱性の性質上、PoC（Proof of Concept）コードが公開される可能性は高く、攻撃者による悪用が懸念されます。CISA KEV（Known Exploited Vulnerabilities）への登録状況は不明ですが、今後の動向に注意が必要です。

リスク対象者翻訳中…

Organizations and individuals deploying NiceGUI applications, particularly those serving media files, are at risk. Shared hosting environments where multiple users share the same server are especially vulnerable, as an attacker could potentially exploit this vulnerability to access files belonging to other users.

検出手順翻訳中…

• python / server:

# Check for vulnerable NiceGUI versions
python -c "import nicegui; print(nicegui.__version__)"

• generic web:

curl -I 'http://your-nicegui-app/path/../sensitive/file.txt' # Check for file disclosure

攻撃タイムライン

2025-12-09Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

1.06% (77% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントnicegui

ベンダーosv

影響範囲修正版

< 3.4.0 – < 3.4.03.4.1

—3.4.0

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2025-12-05
公開日2025-12-09
更新日2026-02-03
EPSS 更新日2026-03-23

公開後0日でパッチ適用

緩和策と回避策

この脆弱性への対応策として、まずNiceGUIをバージョン3.4.0にアップデートすることが最も効果的です。アップデートが困難な場合は、WAF（Web Application Firewall）を導入し、ディレクトリトラバーサル攻撃を検知・防御するルールを設定することを検討してください。また、addmediafiles()メソッドを使用する際に、ファイルパスの入力を厳密に検証し、不正な文字やシーケンスが含まれていないか確認する入力検証を実装することも有効です。ファイルアクセス権限を適切に設定し、NiceGUIプロセスがアクセスできるファイル範囲を制限することも、被害を最小限に抑えるための対策となります。

修正方法翻訳中…

Actualice NiceGUI a la versión 3.4.0 o superior. Esto corrige la vulnerabilidad de path traversal en la función app.add_media_files(). La actualización se puede realizar utilizando el gestor de paquetes pip: `pip install --upgrade nicegui`.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-66645 — パストレーバーサルはNiceGUIで何ですか？

CVE-2025-66645は、NiceGUIのaddmediafiles()メソッドにおけるパストラバーサル脆弱性であり、攻撃者がサーバー上の任意のファイルを読み取れる可能性があります。

CVE-2025-66645はNiceGUIで影響を受けますか？