CVE-2026-45554
ŚrednieCVSS 5.3Streszczenie
NiceGUI to framework UI oparty na Pythonie. W wersjach przed 3.12.0, dwa endpointy FastAPI obsługujące statyczne zasoby per-komponentowe akceptują parametr sub-ścieżki, który może prowadzić do katalogu zamiast pliku, co skutkuje nieobsłużonym błędem RuntimeError.
Ocena ryzyka
Ponieważ te endpointy są dostępne bez uwierzytelnienia, zdalny atakujący może zwiększyć objętość logów oraz zużycie przestrzeni dyskowej i przepustowości logów na publicznie dostępnych serwerach NiceGUI.
Rekomendacja
Zaleca się aktualizację do wersji 3.12.0 lub nowszej, aby załatać tę podatność i zminimalizować ryzyko związane z nieautoryzowanym dostępem.
Oryginalny opis (angielski, źródło NVD)
NiceGUI is a Python-based UI framework. Prior to version 3.12.0, two FastAPI routes that serve per-component static assets in NiceGUI accept a sub-path parameter that may resolve to a directory rather than a file. Requests that resolve to a directory raise an unhandled RuntimeError inside Starlette's FileResponse, which Uvicorn writes to the server log as a full traceback. Because the routes are reachable without authentication, a remote attacker can amplify log volume and consume disk and log-pipeline capacity on any publicly reachable NiceGUI server. This issue has been patched in version 3.12.0.

