Krytyczna luka RCE w Marimo umożliwia zdalne wykonanie kodu bez uwierzytelnienia

Krytyczna luka RCE w Marimo do wersji 0.23.0 pozwala na zdalne wykonanie kodu bez uwierzytelnienia. Zalecana szybka aktualizacja i ograniczenie dostępu.
CVE-2026-39987CVSS 9.3CISA KEVRuntime

Krytyczna luka RCE w Marimo umożliwia zdalne wykonanie kodu bez uwierzytelnienia

Krytyczna luka RCE w Marimo do wersji 0.23.0 pozwala na zdalne wykonanie kodu bez uwierzytelnienia. Zalecana szybka aktualizacja i ograniczenie dostępu.

CVSS
9.3 CRITICAL
EPSS
99.86%
Aktywnie wykorzystywana
tak
Produkt
Marimo

Co wiadomo

W Marimo, reaktywnym notatniku Python, do wersji 0.23.0 występuje luka zdalnego wykonania kodu (RCE) bez uwierzytelnienia. Punkt końcowy WebSocket /terminal/ws nie weryfikuje uwierzytelnienia, co pozwala atakującemu na uzyskanie pełnej powłoki PTY i wykonanie dowolnych poleceń systemowych.

Wpływ biznesowy

Luka o krytycznym poziomie CVSS 9.3 umożliwia nieautoryzowanym osobom przejęcie kontroli nad systemem, na którym działa Marimo. Może to prowadzić do poważnych naruszeń bezpieczeństwa, utraty danych oraz zakłóceń w działaniu usług IT. Operatorzy powinni potraktować tę podatność jako priorytetową do zaadresowania, aby zapobiec potencjalnym atakom.

Rekomendowane działania administratora

Zaleca się niezwłoczne zaktualizowanie Marimo do wersji 0.23.0 lub nowszej, w której luka została załatana. W przypadku braku możliwości aktualizacji, należy ograniczyć dostęp do punktu końcowego /terminal/ws oraz monitorować logi pod kątem podejrzanej aktywności. Przegląd konfiguracji uwierzytelniania i ekspozycji usługi jest kluczowy dla zmniejszenia ryzyka.

Źródła