Критична вразливість віддаленого виконання коду в Marimo

Критична вразливість RCE в Marimo до 0.23.0 дозволяє неавторизоване виконання команд через WebSocket /terminal/ws. Оновіть до 0.23.0 для захисту.
CVE-2026-39987CVSS 9.3CISA KEVRuntime

Критична вразливість віддаленого виконання коду в Marimo

Критична вразливість RCE в Marimo до 0.23.0 дозволяє неавторизоване виконання команд через WebSocket /terminal/ws. Оновіть до 0.23.0 для захисту.

CVSS
9.3 CRITICAL
EPSS
99.86%
Активно використовується
так
Продукт
Marimo

Що відомо

У версіях Marimo до 0.23.0 виявлено критичну вразливість віддаленого виконання коду через відсутність автентифікації на WebSocket кінцевій точці /terminal/ws. Зловмисник може отримати повний доступ до оболонки PTY і виконувати довільні системні команди без авторизації.

Бізнес-вплив

Ця вразливість дозволяє неавторизованим користувачам отримати повний контроль над системою, де запущено Marimo, що створює серйозні ризики для безпеки інфраструктури. Вразливість має високий рівень критичності (CVSS 9.3), тому її експлуатація може призвести до компрометації даних і порушення роботи сервісів.

Рекомендовані дії адміністратора

Рекомендується негайно оновити Marimo до версії 0.23.0 або новішої, де ця вразливість виправлена. Якщо оновлення неможливе, слід обмежити доступ до WebSocket кінцевої точки /terminal/ws, провести аудит логів на ознаки зловмисної активності та впровадити додаткові заходи контролю доступу. Важливо також регулярно перевіряти оновлення від постачальника.

Джерела