Platform
python
Component
mesop
Opgelost in
1.2.4
1.2.3
CVE-2026-33054 beschrijft een Path Traversal kwetsbaarheid in mesop, een Python framework. Deze kwetsbaarheid stelt aanvallers in staat om willekeurige bestanden op de schijf te benaderen via de state_token in de UI stream payload. De kwetsbaarheid treft versies van mesop tot en met 1.2.2rc1. Een fix is beschikbaar in versie 1.2.3.
De Path Traversal kwetsbaarheid in mesop maakt het mogelijk voor een aanvaller om de structuur van het bestandssysteem te doorbreken. Door een kwaadwillige state_token te leveren, kan de aanvaller bestanden lezen en mogelijk manipuleren die zich buiten de beoogde sessie-opslaglocatie bevinden. Dit kan leiden tot een denial-of-service (DoS) door het framework te laten crashen bij het proberen te lezen van niet-msgpack bestanden als configuratiebestanden. In ernstige gevallen kan de aanvaller gevoelige informatie blootleggen of de integriteit van het systeem in gevaar brengen door configuratiebestanden te wijzigen.
Op dit moment is er geen publieke exploitatie van CVE-2026-33054 bekend. De kwetsbaarheid is openbaar gemaakt op 2026-03-18. De CVSS score van 10 (CRITICAL) duidt op een hoog risico. Het is aan te raden om de kwetsbaarheid zo snel mogelijk te patchen.
Organizations deploying mesop with the FileStateSessionBackend are at significant risk, particularly those running versions prior to 1.2.3. Shared hosting environments where multiple users share the same file system are especially vulnerable, as an attacker could potentially compromise other users' sessions.
• python / server:
import os
import subprocess
def check_mesop_version():
try:
result = subprocess.check_output(['mesop', '--version'], stderr=subprocess.STDOUT, text=True)
version = result.strip()
if version.startswith('1.2.2rc'):
print(f"VULNERABLE: mesop version {version} detected.")
elif version.startswith('1.2.3'):
print(f"PATCHED: mesop version {version} detected.")
else:
print(f"mesop version {version} detected. Check for updates.")
except FileNotFoundError:
print("mesop not found. Check installation.")
check_mesop_version()disclosure
Exploit Status
EPSS
0.02% (6% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-33054 is het upgraden naar mesop versie 1.2.3 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het beperken van de toegang tot de UI stream payload en het valideren van de state_token. Implementeer strikte toegangscontroles op het bestandssysteem om te voorkomen dat onbevoegden toegang krijgen tot gevoelige bestanden. Controleer de configuratie van de FileStateSessionBackend om er zeker van te zijn dat deze correct is ingesteld en dat er geen onbedoelde toegangspaden zijn. Na de upgrade, verifieer de fix door te proberen een bestand buiten de verwachte sessie-opslaglocatie te benaderen via de UI stream payload.
Actualice Mesop a la versión 1.2.3 o superior. Esta versión corrige la vulnerabilidad de Path Traversal en el `FileStateSessionBackend`.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-33054 is a critical Path Traversal vulnerability in mesop affecting versions up to 1.2.2rc1. It allows attackers to access and potentially modify files on the disk by manipulating the state_token.
You are affected if you are using mesop version 1.2.2rc1 or earlier and have the FileStateSessionBackend enabled. Check your version immediately.
Upgrade mesop to version 1.2.3 or later to resolve this vulnerability. If immediate upgrade is not possible, implement WAF rules to sanitize the state_token.
While no public exploits are currently known, the ease of exploitation suggests a potential for active exploitation. Monitor your systems closely.
Refer to the official mesop project's security advisories for the most up-to-date information and guidance: [https://mesop.example/security](https://mesop.example/security) (replace with actual advisory URL)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.