CVE-2026-45554

Nome do Software Vulnerável e Versões Afetadas NiceGUI versões anteriores a 3.12.0

Descrição Duas rotas do FastAPI usadas para servir ativos estáticos por componente aceitam um parâmetro de subcaminho que pode resolver para um diretório em vez de um arquivo. Quando uma solicitação resolve para um diretório, ela dispara um RuntimeError não tratado dentro da função FileResponse do Starlette, fazendo com que o Uvicorn escreva um traceback completo no log do servidor. Como essas rotas são acessíveis sem autenticação, um invasor remoto pode enviar solicitações manipuladas para amplificar o volume de logs, potencialmente esgotando o espaço em disco, saturando pipelines de envio de logs e causando fadiga de alertas. Os endpoints afetados são a rota de recursos e a rota de módulo ESM, especificamente onde segmentos de caminho fornecidos pelo usuário são unidos a um diretório base registrado. Este problema não resulta em execução remota de código, travessia de diretório ou exposição de dados.

Recomendações Atualize para a versão 3.12.0. Como solução temporária, coloque o software atrás de um proxy reverso para rejeitar solicitações onde o caminho após / nicegui/<version>/esm/<key>/ ou / nicegui/<version>/resources/<key>/ esteja vazio. Limite a taxa de solicitações (rate-limit) para o prefixo / nicegui/ no nível do proxy. Configure a rotação de logs de forma agressiva para o serviço afetado.