JVNDB-2026-009129

Mesopにおけるパストラバーサルの脆弱性

Mesopは、ユーザーがウェブアプリケーションを構築できるPythonベースのUIフレームワークです。バージョン1.2.2以下には、UIストリームペイロードを通じて信頼されていないstate_tokenを提供する任意のユーザーが、標準のファイルベースのランタイムバックエンド環境下でディスク上のファイルを任意に指定できるパストラバーサルの脆弱性が存在します。これにより、設定として非msgpackのターゲットファイルを読み込む際にクラッシュループが発生し、アプリケーションがサービス拒否状態になる可能性や、任意のファイル操作が行われる可能性があります。この脆弱性は、FileStateSessionBackendを利用してホストされているシステムに大きな影響を与えます。不正な悪意ある攻撃者は、アプリケーションの範囲外で基盤となるサービスリソースをネイティブに上書きまたは明示的に削除する任意のペイロードを操作することが可能です。この問題はバージョン1.2.3で修正されました。

Mesop

• Mesop 1.2.3 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : Path Traversal utilizing `FileStateSessionBackend` leads to Application Denial of Service and File Write/Deletion  Advisory  mesop-dev/mesop  GitHub

1. パス・トラバーサル(CWE-22) [その他]

1. CVE-2026-33054

1. National Vulnerability Database (NVD) : CVE-2026-33054
2. 関連文書 : Release v1.2.3  mesop-dev/mesop  GitHub
3. 関連文書 : Add path traversal protection to FileStateSessionBackend (#1361)  mesop-dev/mesop@c6b382f  GitHub

• [2026年03月27日]
    掲載