CVE-2026-21871 (CNNVD-202601-1484)
中文标题:
NiceGUI 跨站脚本漏洞
英文标题:
NiceGUI is vulnerable to XSS via Unescaped URL in ui.navigate.history.push() / replace()
漏洞描述
中文描述:
NiceGUI是NiceGUI开源的一个易于使用、基于 Python 的 UI 框架。 NiceGUI 2.13.0版本至3.4.1版本存在跨站脚本漏洞,该漏洞源于ui.navigate.history.push或replace函数存在跨站脚本风险。
英文描述:
NiceGUI is a Python-based UI framework. From versions 2.13.0 to 3.4.1, there is a XSS risk in NiceGUI when developers pass attacker-controlled strings into ui.navigate.history.push() or ui.navigate.history.replace(). These helpers are documented as History API wrappers for updating the browser URL without page reload. However, if the URL argument is embedded into generated JavaScript without proper escaping, a crafted payload can break out of the intended string context and execute arbitrary JavaScript in the victim’s browser. Applications that do not pass untrusted input into ui.navigate.history.push/replace are not affected. This issue has been patched in version 3.5.0.
CWE类型:
标签:
受影响产品
| 厂商 | 产品 | 版本 | 版本范围 | 平台 | CPE |
|---|---|---|---|---|---|
| zauberzeug | nicegui | >= 2.13.0, < 3.5.0 | - | - |
cpe:2.3:a:zauberzeug:nicegui:>=_2.13.0,_<_3.5.0:*:*:*:*:*:*:*
|
| zauberzeug | nicegui | * | - | - |
cpe:2.3:a:zauberzeug:nicegui:*:*:*:*:*:*:*:*
|
解决方案
中文解决方案:
英文解决方案:
临时解决方案:
CVSS评分详情
3.1 (cna)
MEDIUMCVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
时间信息
利用信息
数据源详情
| 数据源 | 记录ID | 版本 | 提取时间 |
|---|---|---|---|
| CVE | cve_CVE-2026-21871 |
2026-01-09 02:02:08 | 2026-01-12 02:12:37 |
| NVD | nvd_CVE-2026-21871 |
2026-01-09 03:00:10 | 2026-01-12 02:28:17 |
| CNNVD | cnnvd_CNNVD-202601-1484 |
2026-01-11 06:15:11 | 2026-01-12 02:38:14 |
版本与语言
安全公告
变更历史
查看详细变更
- affected_products_count: 1 -> 2
查看详细变更
- vulnerability_type: 未提取 -> 跨站脚本
- cnnvd_id: 未提取 -> CNNVD-202601-1484
- data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']
查看详细变更
- data_sources: ['cve'] -> ['cve', 'nvd']