HIGHCVE-2024-45601CVSS 7.5

Mesop は、静的ファイル配信機能において、ローカルファイルインクルージョン (Local File Inclusion) の脆弱性を抱えています。

Q: CVE-2024-45601 — 不正アクセス in Mesopとは何ですか？

CVE-2024-45601は、Mesopのバージョン0.9.5rc0以下において、入力検証不備により不正アクセスを許容する脆弱性です。攻撃者は機密ファイルへのアクセスを試みることが可能になります。

Q: CVE-2024-45601 in Mesopに影響を受けますか？

Mesopのバージョンが0.9.5rc0以下である場合、この脆弱性に影響を受ける可能性があります。バージョンを確認し、必要に応じてアップデートしてください。

Q: CVE-2024-45601 in Mesopを修正するにはどうすればよいですか？

Mesopをバージョン0.12.4にアップデートすることで、この脆弱性を修正できます。アップデートが利用できない場合は、WAFなどの緩和策を検討してください。

Q: CVE-2024-45601は積極的に悪用されていますか？

現時点では、公的に利用可能なエクスプロイトコードは確認されていませんが、脆弱性の性質上、悪用が懸念されます。

Q: CVE-2024-45601に関するMesopの公式アドバイザリはどこで入手できますか？

Mesopの公式アドバイザリは、Mesopの公式ウェブサイトまたはGitHubリポジトリで確認できます。

プラットフォーム

python

コンポーネント

mesop

修正版

0.9.1

0.12.4

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-45601は、MesopというPython製のアプリケーションにおける脆弱性です。この脆弱性は、特定のAPIエンドポイントにおける入力検証の不備に起因し、攻撃者が本来アクセスできない機密ファイルに不正にアクセスする可能性を秘めています。影響を受けるバージョンは0.9.5rc0以下であり、最新バージョン0.12.4へのアップデートでこの問題は修正されています。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はMesopサーバー上でホストされているアプリケーションが提供する機密ファイルにアクセスできるようになります。これには、設定ファイル、ログファイル、またはアプリケーションのソースコードが含まれる可能性があります。攻撃者は、これらのファイルから機密情報を盗み出し、システムを悪用したり、さらなる攻撃の足がかりにしたりする可能性があります。特に、ファイルの内容に認証情報やAPIキーが含まれている場合、攻撃者はシステム全体へのアクセス権を取得するリスクがあります。

悪用の状況

この脆弱性は、2024年9月18日に公開されました。現時点では、公的に利用可能なエクスプロイトコードは確認されていませんが、脆弱性の性質上、攻撃者による悪用が懸念されます。CISAのKEVリストへの登録状況は不明です。Letm3through氏がこの問題を報告し、緩和策を提案しています。

リスク対象者翻訳中…

Organizations deploying Mesop in production environments, particularly those handling sensitive data, are at risk. Shared hosting environments where Mesop instances share resources with other applications are also at increased risk, as a compromise of one instance could potentially lead to the compromise of others. Legacy Mesop deployments running older, unpatched versions are particularly vulnerable.

検出手順翻訳中…

• python / server:

  journalctl -u mesop -f | grep -i "file access"

• generic web:

  curl -I <mesop_endpoint> | grep -i "file:"

攻撃タイムライン

2024-09-18Disclosure
disclosure
2024-09-18Patch
patch

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.13% (32% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントmesop

ベンダーosv

影響範囲修正版

>=0.9.0, < 0.12.4 – >=0.9.0, < 0.12.40.9.1

0.9.00.12.4

弱点分類 (CWE)

CWE-22 CWE-20

タイムライン

予約済み2024-09-02
公開日2024-09-18
EPSS 更新日2026-04-02

公開後-6日でパッチ適用

緩和策と回避策

この脆弱性への最も効果的な対策は、Mesopをバージョン0.12.4にアップデートすることです。アップデートがすぐに利用できない場合、一時的な緩和策として、Webアプリケーションファイアウォール（WAF）やリバースプロキシを使用して、不正なリクエストをブロックすることを検討してください。また、アクセス制御リスト（ACL）を適切に設定し、機密ファイルへのアクセスを制限することも有効です。Mesopのログを監視し、異常なアクセスパターンを検出することも重要です。

修正方法翻訳中…

Actualice Mesop a la versión 0.12.4 o superior. Esto solucionará la vulnerabilidad de inclusión de archivos locales. Puede actualizar usando `pip install --upgrade mesop`.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-45601 — 不正アクセス in Mesopとは何ですか？