CVE-2026-33054 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Mesop 框架中 `state_token` 参数存在**路径遍历**缺陷。 💥 **后果**：攻击者可导致**拒绝服务**或执行**任意文件操作**，严重破坏应用完整性。

🔍 **CWE**：CWE-22（路径遍历）。 🐛 **缺陷点**：未对用户输入的 `state_token` 进行严格的**路径规范化**或**边界检查**，允许 `../` 等序列逃逸。

📦 **组件**：Mesop (Python Web UI 框架)。 📅 **版本**：**1.2.2 及之前版本**均受影响。

🔓 **权限**：无需认证（PR:N）。 📂 **数据**：可读取/写入服务器**任意文件**，甚至导致服务崩溃（A:H），CVSS 评分极高。

🚪 **门槛**：**极低**。 ⚙️ **配置**：网络可达即可（AV:N），无需用户交互（UI:N），攻击复杂度低（AC:L）。

🧪 **Exp**：当前公开数据中 **PoC 为空**。 🌍 **在野**：暂无明确在野利用报告，但漏洞原理简单，风险随时升级。

🔎 **自查**：检查 Mesop 版本是否 **≤ 1.2.2**。 📝 **代码**：审查涉及 `state_token` 处理的代码，看是否有**路径拼接**逻辑且未做过滤。

🛡️ **补丁**：**已修复**。 📢 **版本**：官方已发布 **v1.2.3** 修复此问题，请升级至该版本或更高。

⚠️ **临时规避**：若无法升级，需手动对 `state_token` 输入进行**严格白名单校验**或**路径清洗**，禁止包含 `..` 或绝对路径。

🔥 **优先级**：**紧急 (Critical)**。 📉 **建议**：CVSS 向量显示影响完整性、机密性和可用性均为高，建议**立即升级**至 v1.2.3+。