Informazioni sul CVE-2025-30358
Mesop Class Pollution vulnerability leads to DoS and Jailbreak attacks
CWE ID: CWE-915
Base Score (CVSS): N/A
CVE: CVE-2025-30358
Descrizione: Mesop è un framework UI basato su Python che consente agli utenti di costruire applicazioni web. Una vulnerabilità di contaminazione di classi in Mesop prima di versione 0.14.1 permette agli attaccanti di sovrascrivere variabili globali e attributi di classe in determinati moduli Mesop durante l’esecuzione. Questa vulnerabilità potrebbe direttamente portare a un attacco di denial of service (DoS) contro il server. Inoltre, potrebbe avere conseguenze gravi, a seconda dell’implementazione dell’applicazione, come la confusione di identità, dove un attaccante potrebbe impersonare un assistente o un ruolo del sistema all’interno di conversazioni. Questa impersonazione potrebbe potenzialmente consentire attacchi di jailbreak quando interagisce con modelli linguistici di grandi dimensioni (LLM). Come la contaminazione di prototipi in JavaScript, questa vulnerabilità potrebbe lasciare un modo per gli attaccanti manipolare il flusso di dati e il controllo dell’applicazione in esecuzione, portando a conseguenze gravi come l’esecuzione di codice arbitrario quando i gadget sono disponibili. Gli utenti dovrebbero aggiornare a versione 0.14.1 per ottenere una soluzione per questo problema.
Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: Low, Interazione utente: None, Confidenzialità: None, Integrità: High, Disponibilità: High.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | L | Low | Richiede pochi privilegi. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | N | None | Nessun impatto sulla riservatezza. |
| Integrity Impact (I) | H | High | Grave impatto sull’integrità. |
| Availability Impact (A) | H | High | Rende il sistema inutilizzabile. |
Riferimenti esterni
- https://github.com/mesop-dev/mesop/security/advisories/GHSA-f3mf-hm6v-jfhh
- https://github.com/mesop-dev/mesop/commit/748e20d4a363d89b841d62213f5b0c6b4bed788f
Prodotti interessati
- mesop-dev – mesop
Relazioni con altri prodotti
Produttore:mesop-dev
Prodotto: mesop
Anno: 2025
CWE: CWE-915
CVSS: 0.0