Mesop の `FileStateSessionBackend` を利用した Path Traversal により、アプリケーションの Denial of Service とファイル書き込み/削除が発生する

このパス・トラバーサル脆弱性は、攻撃者にとって非常に深刻な脅威となります。攻撃者は、state_tokenを悪用することで、mesopが使用するファイルベースのセッションバックエンドを通じて、ファイルシステム上の任意の場所にアクセスできます。これにより、機密情報の窃取、設定ファイルの改ざん、さらにはシステムのクラッシュを引き起こす可能性があります。特に、ファイルベースのセッションバックエンドを使用している環境では、この脆弱性の影響が顕著に現れます。攻撃者は、不正な設定ファイルを読み込み、アプリケーションの動作を制御したり、悪意のあるコードを実行したりする可能性があります。

Organizations deploying mesop with the FileStateSessionBackend are at significant risk, particularly those running versions prior to 1.2.3. Shared hosting environments where multiple users share the same file system are especially vulnerable, as an attacker could potentially compromise other users' sessions.

• python / server:

import os
import subprocess

def check_mesop_version():
    try:
        result = subprocess.check_output(['mesop', '--version'], stderr=subprocess.STDOUT, text=True)
        version = result.strip()
        if version.startswith('1.2.2rc'):
            print(f"VULNERABLE: mesop version {version} detected.")
        elif version.startswith('1.2.3'):
            print(f"PATCHED: mesop version {version} detected.")
        else:
            print(f"mesop version {version} detected.  Check for updates.")
    except FileNotFoundError:
        print("mesop not found.  Check installation.")

check_mesop_version()

1. 2026-03-18Disclosure

   disclosure

1. 予約済み2026-03-17
2. 公開日2026-03-18
3. 更新日2026-03-20
4. EPSS 更新日2026-03-27

この脆弱性への対応として、まずmesopをバージョン1.2.3にアップデートすることを強く推奨します。アップデートが困難な場合は、ファイルベースのセッションバックエンドの使用を一時的に停止し、別のセッション管理方法に切り替えることを検討してください。また、WAF（Web Application Firewall）を導入し、不正なstatetokenの送信を検知・遮断するルールを設定することも有効です。ファイルシステムのアクセス権限を適切に設定し、mesopがアクセスできる範囲を制限することも重要です。アップデート後、statetokenの検証が正しく行われていることを確認してください。