nvd,anchore_overrides
Mesop-dev
Уязвимости
4
Эксплуатируемые
0
Критический
2
Высокий
2
Топ продуктов
Топ уязвимостей
CVE-2026-33057Mesop - это пользовательский интерфейс на основе Python, который позволяет пользователям создавать веб-приложения. В версиях 1.2.2 и ниже явная веб-топочка внутри инфраструктуры модуля тестирования ИИ / тестирования напрямую вводит ненадеженные строки кода Python без каких-либо мер аутентификации, что дает стандартное выполнение неограниченных удаленных кодов. Любой человек, способный направлять логику HTTP в этот блок сервера, получит явные права на команду host-machine. Пакет кодовой базы AI включает в себя легкий отладочный сервер Flask внутри ai/sandbox/wsgi_app.py. Маршрут /exec-py принимает кодированные базовые_64 необработанные строковые полезные нагрузки внутри параметра кода, изначально оцениваемого по базовому веб-запросу POST. Он быстро сохраняет его на путь логики операционной системы и вводит его рекурсивно, используя исполнение_module(module_path...). Эта проблема исправлена в версии 1.2.3.
CVE-2026-33054Mesop - это фреймворк пользовательского интерфейса на основе Python, который позволяет пользователям создавать веб-приложения. Версии 1.2.2 и ниже содержат уязвимость Path Traversal, которая позволяет любому пользователю, поставляющим ненадежный State_token через полезную нагрузку потока пользовательского интерфейса для произвольного таргетирования файлов на диске в соответствии со стандартным бэкэндом времени работы на основе файла. Это может привести к отказу в обслуживании приложения (через циклы сбоев при чтении целевых файлов, не относящихся к мс-пакету, в качестве конфигураций) или произвольных манипуляций с файлами. Эта уязвимость сильно раскрывает системы, размещенные с использованием FileStateSessionBackend. Несанкционированные злоумышленники могут взаимодействовать с произвольной перезаписью полезной нагрузки или явно удалять базовые служебные ресурсы за пределами приложений. Эта проблема исправлена в версии 1.2.3.
CVE-2025-30358Mesop - это основанный на Python UI-фреймворк, который позволяет пользователям создавать веб-приложения. Уязвимость загрязнения классов в Mesop до версии 0.14.1 позволяет злоумышленникам перезаписывать глобальные переменные и атрибуты классов в некоторых модулях Mesop во время выполнения. Эта уязвимость может непосредственно привести к атаке отказа в обслуживании (DoS) на сервер. Дополнительно это может также привести к другим серьезным последствиям, учитывая реализацию приложения, таким как путаница идентичности, когда злоумышленник может выдать себя за помощника или роль системы в разговорах. Это подделка может потенциально позволить атакам jailbreak при взаимодействии с большими языковыми моделями (LLMs). Подобно загрязнению прототипов в Javascript, эта уязвимость может оставить способ для злоумышленников манипулировать запланированным потоком данных или управлением потоком приложения во время выполнения и привести к серьезным последствиям, таким как удаленное выполнение кода, когда доступны гаджеты. Пользователи должны обновиться до версии 0.14.1, чтобы получить исправление для этой проблемы.
CVE-2026-34824Mesop - это фреймворк пользовательского интерфейса на основе Python, который позволяет пользователям создавать веб-приложения. От версии 1.2.3 до версии 1.2.5, в реализации WebSocket существует неконтролируемая уязвимость потребления ресурсов в рамках Mesop. Неаутентированный злоумышленник может отправлять быструю последовательность сообщений WebSocket, заставляя сервер порывать безграничное количество потоков операционной системы. Это приводит к ошибкам в истощении потока и Out of Memory (OOM), вызывая полное отрицание обслуживания (DoS) для любого приложения, построенного на основе фреймворка. Этот вопрос был исправлен в версии 1.2.5.