平台
python
组件
nicegui
修复版本
3.4.1
3.4.0
CVE-2025-66645 描述了 NiceGUI 应用中存在的路径遍历漏洞。该漏洞允许远程攻击者通过 App.addmediafiles() 方法读取服务器文件系统上的任意文件,造成严重的安全风险。受影响的版本包括 NiceGUI 3.3.1 及更早版本。已发布补丁版本 3.4.0,建议尽快升级。
攻击者可以利用此漏洞绕过文件系统访问控制,读取敏感信息,例如配置文件、数据库凭据、源代码等。攻击者可以通过构造恶意的 url_path 参数,指向服务器上的任意位置,从而获取未经授权的文件内容。如果服务器运行在公共网络上,该漏洞可能导致信息泄露,甚至可能被用于进一步攻击,例如横向移动到其他系统。该漏洞的潜在影响范围取决于服务器上存储的数据的敏感程度以及服务器在网络中的位置。
该漏洞已公开披露,并有可用的 PoC 代码。目前尚无关于该漏洞被大规模利用的公开报告,但由于其易于利用,存在被攻击者的利用的可能性。该漏洞已添加到 CISA KEV 目录中,表明其具有较高的风险。建议尽快采取缓解措施。
Organizations and individuals deploying NiceGUI applications, particularly those serving media files, are at risk. Shared hosting environments where multiple users share the same server are especially vulnerable, as an attacker could potentially exploit this vulnerability to access files belonging to other users.
• python / server:
# Check for vulnerable NiceGUI versions
python -c "import nicegui; print(nicegui.__version__)"• generic web:
curl -I 'http://your-nicegui-app/path/../sensitive/file.txt' # Check for file disclosuredisclosure
漏洞利用状态
EPSS
1.06% (77% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是升级到 NiceGUI 3.4.0 或更高版本,该版本修复了此漏洞。如果无法立即升级,可以考虑以下临时缓解措施:限制 App.addmediafiles() 方法的访问权限,只允许受信任的用户或应用程序调用该方法。实施严格的文件系统访问控制,确保应用程序只能访问其需要的文件。使用 Web 应用程序防火墙 (WAF) 或代理服务器来过滤恶意请求,阻止攻击者利用路径遍历漏洞。监控服务器日志,检测异常的文件访问行为。
Actualice NiceGUI a la versión 3.4.0 o superior. Esto corrige la vulnerabilidad de path traversal en la función app.add_media_files(). La actualización se puede realizar utilizando el gestor de paquetes pip: `pip install --upgrade nicegui`.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-66645 是 NiceGUI 应用中发现的路径遍历漏洞,允许攻击者读取服务器上的任意文件。该漏洞影响 NiceGUI 版本小于或等于 3.3.1 的应用程序。
如果您正在使用 NiceGUI 版本小于或等于 3.3.1,则您可能受到此漏洞的影响。请立即升级到 3.4.0 或更高版本。
修复此漏洞的最佳方法是升级到 NiceGUI 3.4.0 或更高版本。如果无法立即升级,请实施临时缓解措施,例如限制文件访问权限和使用 WAF。
虽然目前没有关于该漏洞被大规模利用的公开报告,但由于其易于利用,存在被攻击者的利用的可能性。
请查阅 NiceGUI 官方安全公告或 GitHub 仓库以获取有关此漏洞的更多信息和修复指南。
上传你的 requirements.txt 文件,立即知道是否受影响。