NiceGUI — это платформа пользовательского интерфейса на основе Python. Начиная с версий v2.10.0 до 3.4.1, неаутентифицированный злоумышленник может использовать соединения Redis, неоднократно открывая и закрывая вкладки браузера в любом приложении NiceGUI, использующем хранилище на базе Redis. Соединения никогда не освобождаются, что приводит к ухудшению качества обслуживания, когда Redis достигает предела количества подключений. NiceGUI продолжает принимать новые подключения — ошибки регистрируются, но приложение продолжает работать с нарушенной функциональностью хранилища.
Эта проблема исправлена в версии 3.5.0.
Показать оригинальное описание (EN)
NiceGUI is a Python-based UI framework. From versions v2.10.0 to 3.4.1, an unauthenticated attacker can exhaust Redis connections by repeatedly opening and closing browser tabs on any NiceGUI application using Redis-backed storage. Connections are never released, leading to service degradation when Redis hits its connection limit. NiceGUI continues accepting new connections - errors are logged but the app stays up with broken storage functionality. This issue has been patched in version 3.5.0.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Zauberzeug Nicegui
cpe:2.3:a:zauberzeug:nicegui:*:*:*:*:*:*:*:*
|
2.10.0
|
3.5.0
|