Vulnerabilidad en Mesop (CVE-2026-33057)

Mesop es un framework de UI basado en Python que permite a los usuarios construir aplicaciones web. En las versiones 1.2.2 e inferiores, un endpoint web explícito dentro de la infraestructura del módulo de pruebas ai/ ingiere directamente cadenas de código Python no confiables incondicionalmente sin medidas de autenticación, lo que resulta en una Ejecución Remota de Código sin Restricciones estándar. Cualquier individuo capaz de enrutar lógica HTTP a este bloque de servidor obtendrá derechos explícitos de comando de la máquina anfitriona. El paquete de código base de IA incluye un servidor Flask de depuración ligero dentro de ai/sandbox/wsgi_app.py. La ruta /exec-py acepta cargas útiles de cadenas en bruto codificadas en base_64 dentro del parámetro code, evaluadas nativamente por una solicitud web POST básica. Lo guarda rápidamente en la ruta lógica del sistema operativo y lo inyecta recursivamente usando execute_module(module_path...). Este problema ha sido solucionado en la versión 1.2.3.