发布日期：2026-02-06
更新日期：2026-04-08

受影响系统：

NiceGUI NiceGUI < 3.7.0

描述：

---

CVE(CAN) ID: CVE-2026-25732

NiceGUI是NiceGUI开源的一个易于使用、基于Python的UI框架。
NiceGUI 3.7.0之前版本存在路径遍历漏洞，该漏洞源于NiceGUI的FileUpload.name属性直接使用客户端提供的文件名且未做任何清理，当开发者采用UPLOAD_DIR/file.name模式拼接路径时未对文件名中的../等路径遍历序列进行过滤，攻击者可利用该漏洞上传包含恶意../序列的文件名，将文件写入服务器上的任意目录从而在特定部署模式下实现远程代码执行。

<*链接：https://github.com/zauberzeug/nicegui/security/advisories/GHSA-9ffm-fxg3-xrhh
*>

建议：

---

厂商补丁：

NiceGUI
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/zauberzeug/nicegui/blob/main/nicegui/elements/upload_files.py#L79-L82

浏览次数：32
严重程度：0（网友投票）