CVE-2025-53354

Nome do Software Vulnerável e Versões Afetadas Versões do NiceGUI anteriores a 3.0.0

Descrição O NiceGUI, um framework de UI baseado em Python, é suscetível a Cross-Site Scripting (XSS) quando desenvolvedores renderizam entrada do usuário não escapada no DOM usando ui.html(). O framework não aplicava sanitização de HTML ou JavaScript antes da versão 3.0.0, permitindo que atacantes executassem JavaScript arbitrário no navegador do usuário caso as aplicações combinassem diretamente componentes como ui.input() com ui.html() ou ui.chat message com conteúdo HTML sem o devido escapamento. O caminho de código vulnerável ocorre quando a entrada do usuário é renderizada literalmente no DOM da página via innerHTML. Uma prova de conceito demonstra que a injeção de um payload malicioso, como <img src=x onerror=alert('XSS')>, aciona um alerta JavaScript. O problema afeta aplicações que refletem diretamente a entrada do usuário via ui.html() ou ui.chat message no modo HTML, potencialmente levando à execução de código no lado do cliente, incluindo sequestro de sessão ou phishing.

Recomendações Atualize para a versão 3.0.0 ou posterior do NiceGUI para resolver este problema.