H3Ri0S

**Nome do Software Vulnerável e Versões Afetadas** NiceGUI (versões afetadas não especificadas) **Descrição** A função `ui.restructured text()` renderiza reStructuredText no lado do servidor usando Docutils sem desativar as diretivas de inserção de arquivos. Quando conteúdo controlado por um invasor é passado para esta função, o invasor pode usar diretivas padrão do Docutils, como `include`, `csv-table` com `:file:` ou `raw` com `:file:`, para ler arquivos locais acessíveis pelo processo do servidor. Isso ocorre na função `prepare content()` localizada em `nicegui/elements/restructured text.py`, que não desativa a inserção de arquivos ou diretivas raw durante o processo de renderização. Isso pode levar à exposição de informações sensíveis, incluindo arquivos de ambiente, URLs de banco de dados, tokens de API e arquivos de código-fonte. **Recomendações** Desative os recursos inseguros do Docutils na função `prepare content()` definindo `file insertion enabled` como `False`, `raw enabled` como `False` e ` disable config` como `True` dentro do parâmetro `settings overrides`. Como medida paliativa temporária, evite passar entradas não confiáveis ou controladas pelo usuário para a função `ui.restructured text()`.