Plataforma
python
Componente
mesop
Corrigido em
1.2.4
1.2.3
A vulnerabilidade de Path Traversal no mesop, afetando versões até 1.2.2rc1, permite que atacantes explorem o parâmetro state_token para acessar arquivos arbitrários no disco. Essa falha pode resultar em negação de serviço, devido a loops de crash ao ler arquivos não-msgpack como configurações, ou até mesmo na manipulação de arquivos sensíveis. A correção está disponível na versão 1.2.3.
Um atacante que explore essa vulnerabilidade pode obter acesso não autorizado a arquivos armazenados no disco do sistema onde o mesop está em execução. Isso pode incluir arquivos de configuração, dados de sessão e outros arquivos sensíveis. A exploração bem-sucedida pode levar à negação de serviço, interrompendo a operação normal do aplicativo. Além disso, a capacidade de manipular arquivos pode permitir que um atacante modifique o comportamento do sistema ou execute código malicioso. A gravidade da vulnerabilidade é amplificada pelo fato de que ela pode ser explorada por qualquer usuário, mesmo sem autenticação, dependendo da configuração do sistema.
A vulnerabilidade foi divulgada em 2026-03-18. Não há informações disponíveis sobre exploração ativa ou a inclusão em listas como KEV. A ausência de um Proof of Concept (PoC) público não diminui a gravidade da vulnerabilidade, dada a sua natureza crítica e o potencial de impacto.
Organizations deploying mesop with the FileStateSessionBackend are at significant risk, particularly those running versions prior to 1.2.3. Shared hosting environments where multiple users share the same file system are especially vulnerable, as an attacker could potentially compromise other users' sessions.
• python / server:
import os
import subprocess
def check_mesop_version():
try:
result = subprocess.check_output(['mesop', '--version'], stderr=subprocess.STDOUT, text=True)
version = result.strip()
if version.startswith('1.2.2rc'):
print(f"VULNERABLE: mesop version {version} detected.")
elif version.startswith('1.2.3'):
print(f"PATCHED: mesop version {version} detected.")
else:
print(f"mesop version {version} detected. Check for updates.")
except FileNotFoundError:
print("mesop not found. Check installation.")
check_mesop_version()disclosure
Status do Exploit
EPSS
0.02% (percentil 6%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o mesop para a versão 1.2.3 ou superior, que inclui a correção. Se a atualização imediata não for possível, considere restringir o acesso ao parâmetro statetoken e implementar validação rigorosa dos dados de entrada. Monitore logs de acesso em busca de tentativas de acesso a arquivos fora do diretório esperado. Implementar um Web Application Firewall (WAF) com regras para bloquear requisições com statetoken maliciosos também pode ajudar a mitigar o risco. Após a atualização, confirme a correção verificando se o acesso a arquivos arbitrários através do state_token é impedido.
Atualize Mesop para a versão 1.2.3 ou superior. Esta versão corrige a vulnerabilidade de Path Traversal no `FileStateSessionBackend`.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-33054 is a critical Path Traversal vulnerability in mesop affecting versions up to 1.2.2rc1. It allows attackers to access and potentially modify files on the disk by manipulating the state_token.
You are affected if you are using mesop version 1.2.2rc1 or earlier and have the FileStateSessionBackend enabled. Check your version immediately.
Upgrade mesop to version 1.2.3 or later to resolve this vulnerability. If immediate upgrade is not possible, implement WAF rules to sanitize the state_token.
While no public exploits are currently known, the ease of exploitation suggests a potential for active exploitation. Monitor your systems closely.
Refer to the official mesop project's security advisories for the most up-to-date information and guidance: [https://mesop.example/security](https://mesop.example/security) (replace with actual advisory URL)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.