Plataforma
python
Componente
mesop
Corregido en
1.2.4
CVE-2026-33057 es una vulnerabilidad de Ejecución Remota de Código (RCE) que afecta a Mesop, un framework de UI basado en Python, en versiones 1.2.2 y anteriores. Esta falla permite a un atacante ejecutar comandos arbitrarios en el sistema host sin necesidad de autenticación. La vulnerabilidad reside en una ruta web dentro del módulo de pruebas ai/ que ingesta código Python no confiable sin validación, lo que facilita la toma de control del sistema. La versión 1.2.3 corrige esta vulnerabilidad.
La gravedad de esta vulnerabilidad radica en su facilidad de explotación y el alto impacto potencial. Un atacante puede explotar esta falla enviando código Python malicioso a través de la ruta /exec-py en el servidor Flask integrado dentro de ai/sandbox/wsgi_app.py. Al ser una ejecución remota de código sin autenticación, cualquier persona que pueda enrutar tráfico HTTP a este punto final puede obtener privilegios de administrador en el sistema. Esto podría resultar en la exfiltración de datos sensibles, la instalación de malware, la modificación de archivos del sistema o incluso el control total del servidor. La falta de autenticación amplía significativamente el radio de explosión, afectando a cualquier sistema expuesto a la red que ejecute una versión vulnerable de Mesop.
CVE-2026-33057 fue publicado el 20 de marzo de 2026. No se ha añadido a la lista KEV de CISA, pero dada la severidad (CVSS 9.8) y la facilidad de explotación, es probable que se considere de alta probabilidad. No se han reportado campañas de explotación activas a la fecha, pero la disponibilidad de la descripción de la vulnerabilidad y la relativa simplicidad de la explotación sugieren que podría ser objeto de ataques en el futuro. Se recomienda monitorear activamente los sistemas Mesop para detectar cualquier actividad sospechosa.
Organizations using Mesop in production environments, particularly those with publicly accessible instances or those lacking robust network security controls, are at significant risk. Development environments and testing instances are also vulnerable. Shared hosting environments where Mesop is deployed alongside other applications are particularly susceptible due to the potential for cross-site scripting or other attacks to exploit this vulnerability.
• python: Check for the presence of the /exec-py endpoint using curl:
curl -v http://<mesop_server>/exec-py• python: Examine the ai/sandbox/wsgi_app.py file for the vulnerable route. Look for code that directly executes base64 encoded strings.
• generic web: Monitor access logs for requests to /exec-py with unusual or suspicious base64 encoded payloads.
• generic web: Implement rate limiting on the /exec-py endpoint to mitigate brute-force attempts.
disclosure
Estado del Exploit
EPSS
0.14% (34% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-33057 es actualizar Mesop a la versión 1.2.3 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización inmediata no es posible, se recomienda aislar los servidores Mesop vulnerables en una red segmentada para limitar el acceso externo. Implementar un firewall de aplicaciones web (WAF) con reglas que bloqueen el acceso a la ruta /exec-py puede proporcionar una capa adicional de protección. Además, se debe revisar la configuración del servidor Flask para asegurar que solo se acepten conexiones de fuentes confiables. Después de la actualización, confirme la mitigación verificando que la ruta /exec-py ya no sea accesible y que el código se ejecute de forma segura.
Actualice Mesop a la versión 1.2.3 o superior. Esta versión corrige la vulnerabilidad de ejecución remota de código no autenticada. La actualización se puede realizar a través del gestor de paquetes de Python (pip).
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-33057 is a CRITICAL Remote Code Execution vulnerability in Mesop versions 1.2.2 and earlier, allowing attackers to execute arbitrary code on the server via an unauthenticated endpoint.
You are affected if you are using Mesop version 1.2.2 or earlier. Upgrade to version 1.2.3 to mitigate the risk.
The recommended fix is to upgrade Mesop to version 1.2.3 or later. As a temporary workaround, disable the /exec-py endpoint.
While no confirmed exploitation is public, the vulnerability's ease of exploitation suggests a high probability of exploitation and warrants immediate attention.
Refer to the Mesop project's official website and GitHub repository for the latest advisory and security updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.