PT-2026-2112 · Nicegui · Nicegui
Evnchn
·
Publicado
2026-01-08
·
Atualizado
2026-01-08
·
CVE-2026-21873
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
NiceGUI versões 2.22.0 a 3.4.1
Descrição
O NiceGUI é um framework de UI baseado em Python. Uma implementação insegura no listener de evento
pushstate utilizado por ui.sub pages permite que um atacante manipule o identificador de fragmento da URL, mesmo a partir de um site diferente, usando um iframe. Esta manipulação é possível devido a uma falha na forma como o framework lida com alterações de fragmento de URL dentro de sub-páginas. O listener de evento pushstate é o componente responsável por gerenciar o estado do histórico do navegador, e sua implementação inadequada permite manipulação cross-site.Recomendações
Atualize para a versão 3.5.0 ou posterior do NiceGUI para resolver este problema.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Nicegui