NiceGUI is a Python-based UI framework. Prior to version 3.9.0, NiceGUI's app.add_media_file() and app.add_media_files() media routes accept a user-controlled query parameter that influences how files are read during streaming. The parameter is passed to the range-response implementation without validation, allowing an attacker to bypass chunked streaming and force the server to load entire files into memory at once. With large media files and concurrent requests, this can lead to excessive memory consumption, degraded performance, or denial of service. This issue has been patched in version 3.9.0.
NiceGUI versions before 3.9.0 contain an input validation vulnerability in media file handling that allows attackers to bypass chunked streaming through unvalidated query parameters. This can cause excessive memory consumption and denial of service when processing large media files with concurrent requests.
تحتوي دوال app.add_media_file() و app.add_media_files() في NiceGUI على ثغرة حيث يتم تمرير معاملات الاستعلام التي يتحكم بها المستخدم إلى تطبيق استجابة النطاق دون التحقق من صحتها. يمكن للمهاجمين استغلال هذه الثغرة لفرض تحميل ملفات الوسائط الكبيرة بالكامل في الذاكرة بدلاً من البث المقسم، مما يؤدي إلى استهلاك مفرط للموارد وحرمان الخدمة.
إصدارات NiceGUI السابقة للإصدار 3.9.0 تحتوي على ثغرة في التحقق من صحة المدخلات في معالجة ملفات الوسائط تسمح للمهاجمين بتجاوز البث المقسم من خلال معاملات الاستعلام غير المتحققة منها. يمكن أن يسبب هذا استهلاكاً مفرطاً للذاكرة وحرمان الخدمة عند معالجة ملفات وسائط كبيرة مع طلبات متزامنة.
Upgrade NiceGUI to version 3.9.0 or later immediately. Implement input validation for all query parameters in media route handlers. Deploy rate limiting and request throttling to mitigate concurrent request attacks. Monitor memory consumption and set appropriate resource limits on application servers.
قم بترقية NiceGUI إلى الإصدار 3.9.0 أو أحدث على الفور. قم بتنفيذ التحقق من صحة المدخلات لجميع معاملات الاستعلام في معالجات مسارات الوسائط. قم بنشر تحديد معدل الطلبات والتحكم في الطلبات المتزامنة للتخفيف من هجمات الطلبات المتزامنة. راقب استهلاك الذاكرة وقم بتعيين حدود موارد مناسبة على خوادم التطبيقات.