Vulnerabilidad en Mesop (CVE-2026-33054)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)

Fecha de publicación:

20/03/2026

Última modificación:

24/03/2026

Descripción

Mesop es un framework de interfaz de usuario basado en Python que permite a los usuarios construir aplicaciones web. Las versiones 1.2.2 e inferiores contienen una vulnerabilidad de salto de ruta que permite a cualquier usuario que suministre un state_token no confiable a través de la carga útil del flujo de la interfaz de usuario dirigirse arbitrariamente a archivos en el disco bajo el backend de tiempo de ejecución estándar basado en archivos. Esto puede resultar en denegación de servicio de la aplicación (a través de bucles de bloqueo al leer archivos de destino que no son msgpack como configuraciones), o manipulación arbitraria de archivos. Esta vulnerabilidad expone gravemente los sistemas alojados que utilizan FileStateSessionBackend. Actores maliciosos no autorizados podrían interactuar con cargas útiles arbitrarias sobrescribiendo o eliminando explícitamente recursos de servicio subyacentes de forma nativa fuera de los límites de la aplicación. Este problema ha sido solucionado en la versión 1.2.3.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 10.00 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto