CRITICALCVE-2026-33054CVSS 10

Mesop 存在一个 Path Traversal 漏洞，利用 `FileStateSessionBackend` 导致应用程序拒绝服务和文件写入/删除

Q: 什么是 CVE-2026-33054 — 路径遍历漏洞在 mesop 中的表现？

CVE-2026-33054 是一种路径遍历漏洞，允许攻击者通过 UI 流负载中的 `state_token` 访问服务器上的文件，可能导致拒绝服务或任意文件操作。

Q: 我是否受到 CVE-2026-33054 在 mesop 中的影响？

如果您正在使用 mesop 版本 ≤1.2.2rc1，则可能受到此漏洞的影响。请立即升级到 1.2.3 或更高版本。

Q: 我如何修复 CVE-2026-33054 在 mesop 中的漏洞？

最有效的修复方法是升级到 mesop 1.2.3 或更高版本。如果无法立即升级，请考虑限制 `state_token` 的来源并实施严格的文件访问控制。

Q: CVE-2026-33054 是否正在被积极利用？

目前尚无公开的利用程序，但由于路径遍历漏洞的普遍性，预计未来可能会出现。建议密切关注安全社区的动态。

Q: 在哪里可以找到官方 mesop 关于 CVE-2026-33054 的安全公告？

请访问 mesop 的官方网站或 GitHub 仓库，查找有关 CVE-2026-33054 的安全公告。

平台

python

组件

mesop

修复版本

1.2.4

1.2.3

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-33054 是一种路径遍历漏洞，影响 mesop 软件。该漏洞允许攻击者通过 UI 流负载中的 state_token 恶意构造，访问并修改服务器上的文件，可能导致拒绝服务或任意文件操作。受影响的版本包括 mesop ≤1.2.2rc1。已发布修复版本 1.2.3。

影响与攻击场景

该路径遍历漏洞的潜在影响非常严重。攻击者可以利用此漏洞读取敏感配置文件，篡改应用程序配置，甚至执行任意代码（如果能够控制读取的文件内容）。攻击者可以通过构造恶意的 state_token 来访问文件系统中的任何位置，从而绕过正常的访问控制机制。如果攻击者能够修改关键配置文件，则可能导致应用程序完全崩溃或被恶意控制。这种漏洞的风险类似于其他路径遍历漏洞，可能导致数据泄露、系统破坏和安全事件。

利用背景

该漏洞已于 2026-03-18 公开披露。目前尚无公开的利用程序 (PoC)，但由于路径遍历漏洞的普遍性，预计未来可能会出现。该漏洞被评为高概率利用 (KEV 待定)。建议密切关注安全社区的动态，及时采取应对措施。

哪些人处于风险中翻译中…

Organizations deploying mesop with the FileStateSessionBackend are at significant risk, particularly those running versions prior to 1.2.3. Shared hosting environments where multiple users share the same file system are especially vulnerable, as an attacker could potentially compromise other users' sessions.

检测步骤翻译中…

• python / server:

import os
import subprocess

def check_mesop_version():
    try:
        result = subprocess.check_output(['mesop', '--version'], stderr=subprocess.STDOUT, text=True)
        version = result.strip()
        if version.startswith('1.2.2rc'):
            print(f"VULNERABLE: mesop version {version} detected.")
        elif version.startswith('1.2.3'):
            print(f"PATCHED: mesop version {version} detected.")
        else:
            print(f"mesop version {version} detected.  Check for updates.")
    except FileNotFoundError:
        print("mesop not found.  Check installation.")

check_mesop_version()

攻击时间线

2026-03-18Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.02% (6% 百分位)

CISA SSVC

利用情况poc

可自动化yes

技术影响total

受影响的软件

组件mesop

供应商osv

影响范围修复版本

< 1.2.3 – < 1.2.31.2.4

—1.2.3

弱点分类 (CWE)

CWE-22

时间线

已保留2026-03-17
发布日期2026-03-18
修改日期2026-03-20
EPSS 更新日期2026-03-27

披露后-1天发布补丁

缓解措施和替代方案

缓解此漏洞的首要措施是立即升级到 mesop 1.2.3 或更高版本。如果无法立即升级，可以考虑以下临时缓解措施：限制 UI 流负载中 statetoken 的来源，确保其来自可信的来源。实施严格的文件访问控制，限制应用程序对文件系统的访问权限。监控应用程序日志，查找可疑的文件访问行为。如果使用文件状态会话后端，考虑使用更安全的会话管理机制。升级后，请验证修复是否有效，例如通过尝试使用恶意构造的 statetoken 访问受保护的文件。

修复方法

升级 Mesop 到 1.2.3 或更高版本。此版本修复了 `FileStateSessionBackend` 中的 Path Traversal 漏洞。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2026-33054 — 路径遍历漏洞在 mesop 中的表现？

CVE-2026-33054 是一种路径遍历漏洞，允许攻击者通过 UI 流负载中的 state_token 访问服务器上的文件，可能导致拒绝服务或任意文件操作。

我是否受到 CVE-2026-33054 在 mesop 中的影响？