Evnchn

**Nome do Software Vulnerável e Versões Afetadas** NiceGUI versões anteriores a 3.12.0 **Descrição** Duas rotas do FastAPI usadas para servir ativos estáticos por componente aceitam um parâmetro de subcaminho que pode resolver para um diretório em vez de um arquivo. Quando uma solicitação resolve para um diretório, ela dispara um `RuntimeError` não tratado dentro da função `FileResponse` do Starlette, fazendo com que o Uvicorn escreva um traceback completo no log do servidor. Como essas rotas são acessíveis sem autenticação, um invasor remoto pode enviar solicitações manipuladas para amplificar o volume de logs, potencialmente esgotando o espaço em disco, saturando pipelines de envio de logs e causando fadiga de alertas. Os endpoints afetados são a rota de recursos e a rota de módulo ESM, especificamente onde segmentos de caminho fornecidos pelo usuário são unidos a um diretório base registrado. Este problema não resulta em execução remota de código, travessia de diretório ou exposição de dados. **Recomendações** Atualize para a versão 3.12.0. Como solução temporária, coloque o software atrás de um proxy reverso para rejeitar solicitações onde o caminho após `/ nicegui/<version>/esm/<key>/` ou `/ nicegui/<version>/resources/<key>/` esteja vazio. Limite a taxa de solicitações (rate-limit) para o prefixo `/ nicegui/` no nível do proxy. Configure a rotação de logs de forma agressiva para o serviço afetado.

**Nome do Software Vulnerável e Versões Afetadas** Versões do NiceGUI de 2.22.0 a 3.4.1 **Descrição** O NiceGUI é um framework de interface de usuário (UI) baseado em Python suscetível a uma vulnerabilidade de cross-site scripting (XSS). O problema decorre de uma implementação insegura no listener de evento de clique utilizado por `ui.sub pages`, combinada com a renderização de links controlados pelo atacante na página. Quando um usuário clica em tal link, o XSS pode ocorrer. A questão envolve a função `ui.sub pages` e o tratamento de links. **Recomendações** Atualize para a versão 3.5.0 ou posterior do NiceGUI.

**Nome do Software Vulnerável e Versões Afetadas** NiceGUI versões 2.22.0 a 3.4.1 **Descrição** O NiceGUI é um framework de UI baseado em Python. Uma implementação insegura no listener de evento `pushstate` utilizado por `ui.sub pages` permite que um atacante manipule o identificador de fragmento da URL, mesmo a partir de um site diferente, usando um iframe. Esta manipulação é possível devido a uma falha na forma como o framework lida com alterações de fragmento de URL dentro de sub-páginas. O listener de evento `pushstate` é o componente responsável por gerenciar o estado do histórico do navegador, e sua implementação inadequada permite manipulação cross-site. **Recomendações** Atualize para a versão 3.5.0 ou posterior do NiceGUI para resolver este problema.