Plataforma
python
Componente
nicegui
Corrigido em
3.4.1
3.4.0
Uma vulnerabilidade de Path Traversal foi descoberta no NiceGUI, uma biblioteca Python para criar interfaces web. Essa falha permite que um atacante remoto leia arquivos arbitrários no sistema de arquivos do servidor, comprometendo a confidencialidade dos dados. A vulnerabilidade afeta versões do NiceGUI anteriores ou iguais a 3.3.1 e foi corrigida na versão 3.4.0.
A vulnerabilidade de Path Traversal no NiceGUI permite que um atacante explore a função App.addmediafiles() para acessar arquivos que não deveriam estar acessíveis. Ao manipular o parâmetro url_path, um atacante pode construir caminhos maliciosos que escapam da validação de diretório, permitindo o acesso a arquivos confidenciais, como arquivos de configuração, chaves de API ou dados de usuários. O impacto potencial inclui a exposição de informações sensíveis, a execução de código malicioso (se arquivos executáveis forem acessíveis) e a escalada de privilégios no servidor. A exploração bem-sucedida pode levar a um comprometimento completo do sistema, dependendo das permissões do usuário sob o qual o NiceGUI está sendo executado.
A vulnerabilidade foi descoberta e verificada por Seungbin Yang, um estudante de cybersecurity. Não há informações disponíveis sobre exploração ativa em campanhas direcionadas. A existência de um Proof of Concept (PoC) público aumenta o risco de exploração. A vulnerabilidade foi adicionada ao NVD em 2025-12-09.
Organizations and individuals deploying NiceGUI applications, particularly those serving media files, are at risk. Shared hosting environments where multiple users share the same server are especially vulnerable, as an attacker could potentially exploit this vulnerability to access files belonging to other users.
• python / server:
# Check for vulnerable NiceGUI versions
python -c "import nicegui; print(nicegui.__version__)"• generic web:
curl -I 'http://your-nicegui-app/path/../sensitive/file.txt' # Check for file disclosuredisclosure
Status do Exploit
EPSS
1.06% (percentil 77%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2025-66645 é atualizar o NiceGUI para a versão 3.4.0 ou superior, que corrige a vulnerabilidade de Path Traversal. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao diretório de mídia, implementar controles de acesso rigorosos e monitorar logs de acesso em busca de atividades suspeitas. Implementar um Web Application Firewall (WAF) com regras para detectar e bloquear tentativas de Path Traversal também pode ajudar a mitigar o risco. Verifique se a função addmediafiles está sendo usada com a devida validação de entrada e escape de caracteres.
Actualice NiceGUI a la versión 3.4.0 o superior. Esto corrige la vulnerabilidad de path traversal en la función app.add_media_files(). La actualización se puede realizar utilizando el gestor de paquetes pip: `pip install --upgrade nicegui`.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-66645 is a Path Traversal vulnerability in NiceGUI versions 3.3.1 and earlier, allowing attackers to read arbitrary files on the server.
You are affected if you are using NiceGUI version 3.3.1 or earlier. Upgrade to version 3.4.0 to resolve the vulnerability.
Upgrade NiceGUI to version 3.4.0 or later. As a temporary workaround, implement a WAF rule to block directory traversal attempts.
There are currently no reports of active exploitation campaigns, but a PoC is likely available.
Refer to the NiceGUI repository and release notes for the official advisory and details on the fix.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.