Zurück zur Liste

NiceGUI: Local file disclosure via Docutils file insertion in ui.restructured_text() — CVE-2026-45553

GitHub · GitHub · CVE-2026-45553

ID
CVE-2026-45553
Datum
Activity
Quelle
GitHub
Vendor
GitHub
Risiko
high
CVSS
7.5

Zusammenfassung

### Summary `ui.restructured_text()` renders reStructuredText server-side with Docutils without disabling file insertion directives. When a NiceGUI application passes attacker-controlled content to `ui.restructured_text()`, an attacker can use standard Docutils directives (`include`, `csv-table` with `:file:`, `raw` with `:file:`) to read local files readable by the NiceGUI server process. Applications that only…

Produkt

pip: nicegui

Was tun?

Allgemeine, vorsichtige Schritte (bitte prüfe die offizielle Quelle für Details):

  • Priorisiere sofort Patches oder Mitigations (hohes akutes Risiko).
  • Identifiziere betroffene Produktversionen und prüfe, ob du betroffen bist.
  • Spiele Hersteller-Updates/Patches ein oder setze empfohlene Mitigations um.
  • Lies das offizielle Advisory für betroffene Versionen und konkrete Schritte.

Offizielles Advisory

Mehr dazu

GitHub GitHub 2026-W21