Platform
python
Component
nicegui
Opgelost in
3.4.1
3.4.0
CVE-2025-66645 beschrijft een directory traversal kwetsbaarheid in NiceGUI, een Python framework voor het bouwen van webapplicaties. Deze kwetsbaarheid stelt een aanvaller in staat om willekeurige bestanden op de server te lezen, wat kan leiden tot data-exfiltratie en mogelijk verdere compromittering van het systeem. De kwetsbaarheid treft versies van NiceGUI tot en met 3.3.1. Een fix is beschikbaar in versie 3.4.0.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid stelt een aanvaller in staat om toegang te krijgen tot gevoelige bestanden op de server waarop NiceGUI draait. Dit kan broncode, configuratiebestanden, database credentials of andere vertrouwelijke informatie omvatten. Afhankelijk van de bestanden die toegankelijk zijn, kan de aanvaller de applicatie verder compromitteren, gevoelige data stelen of zelfs de controle over de server overnemen. De impact is vergelijkbaar met andere Path Traversal kwetsbaarheden waarbij ongeautoriseerde toegang tot het bestandssysteem mogelijk is. De omvang van de schade hangt af van de privileges van de gebruiker onder wiens account NiceGUI draait.
Deze kwetsbaarheid is openbaar bekend gemaakt en er is een proof-of-concept beschikbaar. Er is geen informatie beschikbaar over actieve exploits in de wild. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV status onbekend op het moment van schrijven). De publicatie datum is 2025-12-09.
Organizations and individuals deploying NiceGUI applications, particularly those serving media files, are at risk. Shared hosting environments where multiple users share the same server are especially vulnerable, as an attacker could potentially exploit this vulnerability to access files belonging to other users.
• python / server:
# Check for vulnerable NiceGUI versions
python -c "import nicegui; print(nicegui.__version__)"• generic web:
curl -I 'http://your-nicegui-app/path/../sensitive/file.txt' # Check for file disclosuredisclosure
Exploit Status
EPSS
1.06% (77% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-66645 is het upgraden naar NiceGUI versie 3.4.0 of hoger, waarin de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het implementeren van strenge path validation op de urlpath parameter in de App.addmediafiles() methode. Dit kan worden bereikt door een whitelist van toegestane bestanden of directories te gebruiken, of door alle paden te canonicaliseren en te controleren op relatieve paden. Daarnaast kan het gebruik van een Web Application Firewall (WAF) helpen om kwaadaardige verzoeken te detecteren en te blokkeren. Na de upgrade, verifieer de fix door te proberen een bestand buiten de toegestane directory te benaderen via de addmedia_files() functie; dit zou een foutmelding moeten opleveren.
Actualice NiceGUI a la versión 3.4.0 o superior. Esto corrige la vulnerabilidad de path traversal en la función app.add_media_files(). La actualización se puede realizar utilizando el gestor de paquetes pip: `pip install --upgrade nicegui`.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-66645 is a Path Traversal vulnerability in NiceGUI versions 3.3.1 and earlier, allowing attackers to read arbitrary files on the server.
You are affected if you are using NiceGUI version 3.3.1 or earlier. Upgrade to version 3.4.0 to resolve the vulnerability.
Upgrade NiceGUI to version 3.4.0 or later. As a temporary workaround, implement a WAF rule to block directory traversal attempts.
There are currently no reports of active exploitation campaigns, but a PoC is likely available.
Refer to the NiceGUI repository and release notes for the official advisory and details on the fix.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.