CVE-2026-33057 Mesop-Dev — эксплойт и детали уязвимости CRITICAL

Параметр	Значение
CVSS	9,8 (CRITICAL)
Уязвимые версии	до 1.2.3
Устранено в версии	1.2.3
Тип уязвимости	CWE-94 (Внедрение кода)
Поставщик	Mesop-Dev
Публичный эксплойт	Нет

Mesop — это платформа пользовательского интерфейса на основе Python, которая позволяет пользователям создавать веб-приложения. В версиях 1.2.2 и ниже явная конечная веб-точка внутри инфраструктуры модуля тестирования ai/ напрямую принимает ненадежные строки кода Python без каких-либо условий без мер аутентификации, что обеспечивает стандартное неограниченное удаленное выполнение кода. Любой человек, способный перенаправлять логику HTTP на этот серверный блок, получит явные права команд хост-машины.

Пакет базы кода AI включает облегченный сервер Flask отладки внутри ai/sandbox/wsgi_app.py. Маршрут /exec-py принимает необработанные строковые полезные данные в кодировке Base_64 внутри параметра кода, которые изначально оцениваются с помощью базового веб-запроса POST. Он быстро сохраняет его в логическом пути операционной системы и рекурсивно внедряет его с помощью Execute_module(module_path...).

Эта проблема исправлена в версии 1.2.3.

Показать оригинальное описание (EN)

Mesop is a Python-based UI framework that allows users to build web applications. In versions 1.2.2 and below, an explicit web endpoint inside the ai/ testing module infrastructure directly ingests untrusted Python code strings unconditionally without authentication measures, yielding standard Unrestricted Remote Code Execution. Any individual capable of routing HTTP logic to this server block will gain explicit host-machine command rights. The AI codebase package includes a lightweight debugging Flask server inside ai/sandbox/wsgi_app.py. The /exec-py route accepts base_64 encoded raw string payloads inside the code parameter natively evaluated by a basic POST web request. It saves it rapidly to the operating system logic path and injects it recursively using execute_module(module_path...). This issue has been fixed in version 1.2.3.

Характеристики атаки

Способ атаки

По сети

Атака возможна удалённо

Сложность

Низкая

Легко эксплуатировать

Нужны права

Не требуются

Права не нужны

Участие пользователя

Не требуется

Не нужно действие пользователя

Последствия

Конфиденциальность

Высокое

Полная утечка данных

Целостность

Высокое

Полная модификация данных

Доступность

Высокое

Полный отказ в обслуживании

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-94 Code Injection (Внедрение кода)

Уязвимые продукты 1

Конфигурация	От (включительно)	До (исключительно)
Mesop-Dev Mesop cpe:2.3:a:mesop-dev:mesop::::::::	—	`1.2.3`

Ссылки 2

https://github.com/mesop-dev/mesop/commit/825f55970c20686de3f28e2c66df4d74e9d4d…

security-advisories@github.com

https://github.com/mesop-dev/mesop/security/advisories/GHSA-gjgx-rvqr-6w6v

security-advisories@github.com

Меню

CVE-2026-33057

Характеристики атаки

Последствия

Строка CVSS v3.1

Тип уязвимости (CWE)

Уязвимые продукты 1

Ссылки 2

Связанные уязвимости

CVE-2026-33054

Сводка

Выбор редакции

Меню

CVE-2026-33057

Характеристики атаки

Последствия

Строка CVSS v3.1

Тип уязвимости (CWE)

Уязвимые продукты 1

Ссылки 2

Связанные уязвимости

CVE-2026-33054

Сводка

Выбор редакции

Будьте в курсе кибербезопасности