CVE-2026-33057
KrytyczneStreszczenie
Mesop to framework UI oparty na Pythonie, który pozwala użytkownikom na budowanie aplikacji webowych. W wersjach 1.2.2 i poniżej, istnieje punkt końcowy w module ai/testing, który bezwarunkowo przyjmuje nieufne ciągi kodu Python bez żadnych środków uwierzytelniających, co prowadzi do nieograniczonego zdalnego wykonania kodu.
Ocena ryzyka
Każda osoba, która ma możliwość skierowania logiki HTTP do tego serwera, zyskuje pełne uprawnienia do wykonywania poleceń na maszynie hosta. To stwarza poważne zagrożenie dla bezpieczeństwa systemu.
Rekomendacja
Zaleca się aktualizację do wersji 1.2.3 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto wdrożyć dodatkowe środki zabezpieczające, takie jak uwierzytelnianie i walidacja danych wejściowych.
Oryginalny opis (angielski, źródło NVD)
Mesop is a Python-based UI framework that allows users to build web applications. In versions 1.2.2 and below, an explicit web endpoint inside the ai/ testing module infrastructure directly ingests untrusted Python code strings unconditionally without authentication measures, yielding standard Unrestricted Remote Code Execution. Any individual capable of routing HTTP logic to this server block will gain explicit host-machine command rights. The AI codebase package includes a lightweight debugging Flask server inside ai/sandbox/wsgi_app.py. The /exec-py route accepts base_64 encoded raw string payloads inside the code parameter natively evaluated by a basic POST web request. It saves it rapidly to the operating system logic path and injects it recursively using execute_module(module_path...). This issue has been fixed in version 1.2.3.

