Plateforme
python
Composant
mesop
Corrigé dans
1.2.4
1.2.3
La vulnérabilité de traversal de chemin (Path Traversal) CVE-2026-33054 affecte les versions de mesop inférieures ou égales à 1.2.2rc1. Cette faille permet à un attaquant d'exploiter le paramètre state_token pour accéder à des fichiers arbitraires sur le disque, compromettant potentiellement l'intégrité et la confidentialité des données. Une version corrigée, 1.2.3, est désormais disponible pour remédier à ce problème.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de lire et potentiellement de modifier des fichiers sensibles stockés sur le système de fichiers sous-jacent. En utilisant un state_token malveillant, l'attaquant peut contourner les contrôles d'accès et accéder à des fichiers en dehors du répertoire prévu. Cela peut entraîner un déni de service en provoquant des boucles de crash lorsque des fichiers non-msgpack sont lus comme configurations, ou une manipulation arbitraire de fichiers, compromettant l'intégrité de l'application et des données. Le risque est exacerbé si le système de fichiers contient des informations d'identification, des clés de chiffrement ou d'autres données sensibles.
Cette vulnérabilité a été rendue publique le 2026-03-18. Il n'y a pas d'indication d'une exploitation active à ce jour, ni de mention sur le KEV de CISA. Aucun proof-of-concept public n'est connu, mais la nature de la vulnérabilité de traversal de chemin la rend potentiellement exploitable par des acteurs malveillants disposant des compétences appropriées. La gravité critique (CVSS 10) souligne la nécessité d'une correction rapide.
Organizations deploying mesop with the FileStateSessionBackend are at significant risk, particularly those running versions prior to 1.2.3. Shared hosting environments where multiple users share the same file system are especially vulnerable, as an attacker could potentially compromise other users' sessions.
• python / server:
import os
import subprocess
def check_mesop_version():
try:
result = subprocess.check_output(['mesop', '--version'], stderr=subprocess.STDOUT, text=True)
version = result.strip()
if version.startswith('1.2.2rc'):
print(f"VULNERABLE: mesop version {version} detected.")
elif version.startswith('1.2.3'):
print(f"PATCHED: mesop version {version} detected.")
else:
print(f"mesop version {version} detected. Check for updates.")
except FileNotFoundError:
print("mesop not found. Check installation.")
check_mesop_version()disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 6%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour mesop vers la version 1.2.3 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, envisagez de restreindre l'accès au système de fichiers et de surveiller attentivement les journaux d'accès pour détecter toute activité suspecte. Il n'existe pas de contournement direct, mais une configuration stricte du backend de session de fichier (FileStateSessionBackend) peut limiter l'impact potentiel. Vérifiez après la mise à jour que le state_token est correctement validé et qu'il ne permet pas l'accès à des fichiers en dehors du répertoire prévu.
Mettez à jour Mesop à la version 1.2.3 ou supérieure. Cette version corrige la vulnérabilité de Traversal de Chemin dans le `FileStateSessionBackend`.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-33054 is a critical Path Traversal vulnerability in mesop affecting versions up to 1.2.2rc1. It allows attackers to access and potentially modify files on the disk by manipulating the state_token.
You are affected if you are using mesop version 1.2.2rc1 or earlier and have the FileStateSessionBackend enabled. Check your version immediately.
Upgrade mesop to version 1.2.3 or later to resolve this vulnerability. If immediate upgrade is not possible, implement WAF rules to sanitize the state_token.
While no public exploits are currently known, the ease of exploitation suggests a potential for active exploitation. Monitor your systems closely.
Refer to the official mesop project's security advisories for the most up-to-date information and guidance: [https://mesop.example/security](https://mesop.example/security) (replace with actual advisory URL)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.