Plataforma
python
Componente
mesop
Corregido en
1.2.4
1.2.3
La vulnerabilidad de Path Traversal (recorrido de ruta) en mesop permite a atacantes, a través del parámetro state_token en la carga útil de la interfaz de usuario, acceder y manipular archivos arbitrarios en el disco cuando el framework está configurado con el backend de sesión basado en disco (FileStateSessionBackend). Esto puede resultar en denegación de servicio (por bucles de fallo al leer archivos de configuración no msgpack) o manipulación de archivos. La vulnerabilidad afecta a versiones de mesop menores o iguales a 1.2.2rc1 y se ha solucionado en la versión 1.2.3.
Un atacante que explote esta vulnerabilidad puede leer o modificar cualquier archivo al que el proceso de mesop tenga acceso en el sistema de archivos. Esto incluye archivos de configuración, archivos de registro e incluso archivos binarios. La manipulación de archivos de configuración podría permitir al atacante alterar el comportamiento del sistema, mientras que la lectura de archivos de registro podría revelar información confidencial. La denegación de servicio se produce al intentar leer archivos no válidos como configuraciones, lo que provoca bucles de fallo. La severidad crítica se debe a la facilidad de explotación y el potencial de acceso no autorizado a datos sensibles o control del sistema.
La vulnerabilidad fue publicada el 18 de marzo de 2026. No se ha añadido a la lista KEV de CISA. No se conocen públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad de Path Traversal sugiere que es probable que se desarrollen. La falta de un PoC público no disminuye el riesgo, ya que la explotación es relativamente sencilla.
Organizations deploying mesop with the FileStateSessionBackend are at significant risk, particularly those running versions prior to 1.2.3. Shared hosting environments where multiple users share the same file system are especially vulnerable, as an attacker could potentially compromise other users' sessions.
• python / server:
import os
import subprocess
def check_mesop_version():
try:
result = subprocess.check_output(['mesop', '--version'], stderr=subprocess.STDOUT, text=True)
version = result.strip()
if version.startswith('1.2.2rc'):
print(f"VULNERABLE: mesop version {version} detected.")
elif version.startswith('1.2.3'):
print(f"PATCHED: mesop version {version} detected.")
else:
print(f"mesop version {version} detected. Check for updates.")
except FileNotFoundError:
print("mesop not found. Check installation.")
check_mesop_version()disclosure
Estado del Exploit
EPSS
0.02% (6% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar a la versión 1.2.3 de mesop, que corrige la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda evitar el uso del backend de sesión basado en disco (FileStateSessionBackend) si es factible. Como alternativa temporal, se puede implementar un control de acceso más estricto en el directorio donde se almacenan los archivos de sesión, limitando los permisos del usuario de mesop a solo los archivos necesarios. Monitorear los registros del sistema en busca de accesos inusuales a archivos podría ayudar a detectar intentos de explotación. No existen firmas Sigma o YARA específicas disponibles en este momento.
Actualice Mesop a la versión 1.2.3 o superior. Esta versión corrige la vulnerabilidad de Path Traversal en el `FileStateSessionBackend`.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-33054 is a critical Path Traversal vulnerability in mesop affecting versions up to 1.2.2rc1. It allows attackers to access and potentially modify files on the disk by manipulating the state_token.
You are affected if you are using mesop version 1.2.2rc1 or earlier and have the FileStateSessionBackend enabled. Check your version immediately.
Upgrade mesop to version 1.2.3 or later to resolve this vulnerability. If immediate upgrade is not possible, implement WAF rules to sanitize the state_token.
While no public exploits are currently known, the ease of exploitation suggests a potential for active exploitation. Monitor your systems closely.
Refer to the official mesop project's security advisories for the most up-to-date information and guidance: [https://mesop.example/security](https://mesop.example/security) (replace with actual advisory URL)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.