CVE-2026-27156 – NiceGUI has XSS via Code Injection

CVE ID : CVE-2026-27156

Published : Feb. 24, 2026, 6:29 p.m. | 37 minutes ago

Description : NiceGUI is a Python-based UI framework. Prior to version 3.8.0, several NiceGUI APIs that execute methods on client-side elements (`Element.run_method()`, `AgGrid.run_grid_method()`, `EChart.run_chart_method()`, and others) use an `eval()` fallback in the JavaScript-side `runMethod()` function. When user-controlled input is passed as the method name, an attacker can inject arbitrary JavaScript that executes in the victim’s browser. Additionally, `Element.run_method()` and `Element.get_computed_prop()` used string interpolation instead of `json.dumps()` for the method/property name, allowing quote injection to break out of the intended string context. Version 3.8.0 contains a fix.

Severity: 6.1 | MEDIUM

Visit the link for more details, such as CVSS details, affected products, timeline, and more…

CVE-2026-27156 – NiceGUI has XSS via Code Injection

تکمیل ظرفیت سرور لهستان

سرور مناسب برای ترید و ارز دیجیتال

دیتاسنتر جدید در لهستان

سرور های جدید از اسپانیا

AMD EPYC & Ryzen از کشور انگلستان

آفر های جدید AMD EPYC و AMD Ryzen

آفر سرور اختصاصی از آمریکا

افزایش قیمت دامنه های ir از ۳۱ خرداد

افزایش قیمت جهانی دامنه .com

آفر های جدید سرور اختصاصی مرداد 1403

CVE-2025-14963 – Trellix HX Agent Local Privilege Escalation (LSE) Vulnerability

سرور های جدید از روسیه-وارز

تخفیف ویژه دامنه .ASIA

ثبت دامنه .IO

انتقال رایگان پسوند دامنه PW

Kerio Control 9.2.4 Build 2223

نوشته های مشابه

CVE-2026-27468 – Mastodon may allow unconfirmed FASP to make subscriptions

CVE-2026-26222 – DocLink .NET Remoting Unauthenticated Arbitrary File Read/Write RCE

CVE-2026-25603 – Path Traversal vulnerability in Linksys MR9600, Linksys MX4200

CVE-2025-62512 – Piwigo Vulnerable to User Enumeration via Password Reset Endpoint