CVE-2026-33054
KrytyczneStreszczenie
Mesop to framework UI oparty na Pythonie, który pozwala użytkownikom na budowanie aplikacji webowych. W wersjach 1.2.2 i poniżej występuje podatność typu Path Traversal, która umożliwia atakującym dostęp do dowolnych plików na dysku, co może prowadzić do awarii aplikacji lub manipulacji plikami.
Ocena ryzyka
Podatność ta naraża systemy korzystające z FileStateSessionBackend na ataki, które mogą prowadzić do nieautoryzowanego dostępu do zasobów serwisowych oraz awarii aplikacji.
Rekomendacja
Zaleca się aktualizację do wersji 1.2.3, w której problem został naprawiony, aby zminimalizować ryzyko związane z tą podatnością.
Oryginalny opis (angielski, źródło NVD)
Mesop is a Python-based UI framework that allows users to build web applications. Versions 1.2.2 and below contain a Path Traversal vulnerability that allows any user supplying an untrusted state_token through the UI stream payload to arbitrarily target files on the disk under the standard file-based runtime backend. This can result in application denial of service (via crash loops when reading non-msgpack target files as configurations), or arbitrary file manipulation. This vulnerability heavily exposes systems hosted utilizing FileStateSessionBackend. Unauthorized malicious actors could interact with arbitrary payloads overwriting or explicitly removing underlying service resources natively outside the application bounds. This issue has been fixed in version 1.2.3.

