प्लेटफ़ॉर्म
python
घटक
mesop
में ठीक किया गया
1.2.4
1.2.3
CVE-2026-33054 एक गंभीर पथ पारगमन भेद्यता है जो mesop नामक पायथन एप्लिकेशन को प्रभावित करती है। यह भेद्यता हमलावरों को अनधिकृत रूप से डिस्क पर फ़ाइलों तक पहुँचने और उन्हें संशोधित करने की अनुमति देती है, जिससे सेवा से इनकार या डेटा उल्लंघन हो सकता है। यह भेद्यता mesop के संस्करण 1.2.2rc1 और उससे पहले के संस्करणों को प्रभावित करती है। संस्करण 1.2.3 में इस समस्या का समाधान किया गया है।
यह भेद्यता mesop एप्लिकेशन के लिए गंभीर जोखिम पैदा करती है। एक हमलावर state_token के माध्यम से अनट्रस्टेड इनपुट का उपयोग करके डिस्क पर मनमाने ढंग से फ़ाइलों को लक्षित कर सकता है। इसका परिणाम एप्लिकेशन के क्रैश होने के कारण सेवा से इनकार हो सकता है, खासकर जब गैर-msgpack लक्ष्य फ़ाइलों को कॉन्फ़िगरेशन के रूप में पढ़ा जाता है। इसके अतिरिक्त, हमलावर फ़ाइलों को संशोधित करने में सक्षम हो सकता है, जिससे डेटा की अखंडता से समझौता हो सकता है और संभावित रूप से सिस्टम पर नियंत्रण प्राप्त हो सकता है। इस भेद्यता का शोषण करने के लिए विशेष रूप से जटिल ज्ञान की आवश्यकता नहीं होती है, जिससे यह व्यापक रूप से शोषण के लिए अतिसंवेदनशील हो जाता है।
CVE-2026-33054 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी गंभीरता और शोषण में आसानी के कारण, भविष्य में शोषण की संभावना है। इस CVE को CISA KEV सूची में जोड़ा गया है, जो इसके संभावित जोखिम को दर्शाता है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक नहीं हैं, लेकिन भेद्यता की प्रकृति के कारण, उनका जल्द ही उभरना संभव है।
Organizations deploying mesop with the FileStateSessionBackend are at significant risk, particularly those running versions prior to 1.2.3. Shared hosting environments where multiple users share the same file system are especially vulnerable, as an attacker could potentially compromise other users' sessions.
• python / server:
import os
import subprocess
def check_mesop_version():
try:
result = subprocess.check_output(['mesop', '--version'], stderr=subprocess.STDOUT, text=True)
version = result.strip()
if version.startswith('1.2.2rc'):
print(f"VULNERABLE: mesop version {version} detected.")
elif version.startswith('1.2.3'):
print(f"PATCHED: mesop version {version} detected.")
else:
print(f"mesop version {version} detected. Check for updates.")
except FileNotFoundError:
print("mesop not found. Check installation.")
check_mesop_version()disclosure
एक्सप्लॉइट स्थिति
EPSS
0.02% (6% शतमक)
CISA SSVC
CVE-2026-33054 को कम करने के लिए, mesop को संस्करण 1.2.3 में तुरंत अपग्रेड करने की अनुशंसा की जाती है। यदि अपग्रेड संभव नहीं है, तो फ़ाइल-आधारित सत्र बैकएंड (FileStateSessionBackend) के उपयोग को अक्षम करने पर विचार करें। यदि यह संभव नहीं है, तो इनपुट सत्यापन को लागू करके state_token को मान्य करें ताकि यह सुनिश्चित किया जा सके कि यह केवल अपेक्षित मानों को ही स्वीकार करता है। वेब एप्लिकेशन फ़ायरवॉल (WAF) नियमों को कॉन्फ़िगर करें जो पथ पारगमन पैटर्न का पता लगाते हैं और उन्हें अवरुद्ध करते हैं। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, यह सुनिश्चित करने के लिए कि एप्लिकेशन अब अनधिकृत फ़ाइल एक्सेस की अनुमति नहीं देता है।
Mesop को संस्करण 1.2.3 या उच्चतर में अपडेट करें। इस संस्करण में `FileStateSessionBackend` में Path Traversal भेद्यता को ठीक किया गया है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-33054 mesop एप्लिकेशन में एक पथ पारगमन भेद्यता है जो हमलावरों को डिस्क पर मनमाने ढंग से फ़ाइलों तक पहुँचने की अनुमति देती है।
यदि आप mesop के संस्करण 1.2.2rc1 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2026-33054 को ठीक करने के लिए, mesop को संस्करण 1.2.3 में अपग्रेड करें।
CVE-2026-33054 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन भविष्य में शोषण की संभावना है।
कृपया mesop परियोजना की वेबसाइट या संबंधित सुरक्षा सलाहकार देखें।
CVSS वेक्टर
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।