Marimo RCE Flaw CVE-2026-39987 Exploited Within 10 Hours of Disclosure

Exploitation rapide de la faille critique dans Marimo

Une vulnérabilité critique affectant l’outil d’analyse de données open-source Marimo a été exploitée par des attaquants moins de dix heures après sa divulgation publique, démontrant la réactivité accrue des cybercriminels face aux avis de sécurité.

Points clés :

• Rapidité d’exploitation : Des tentatives d’intrusion ont été observées sur des systèmes leurres (honeypots) moins de 10 heures après la publication de la faille, sans qu’aucun code d’exploitation (PoC) ne soit disponible.
• Mode opératoire : L’attaquant a exploité manuellement l’accès non authentifié pour explorer le système de fichiers, extraire des variables d’environnement (.env) et rechercher des clés SSH.
• Ciblage : L’incident souligne que toute application exposée sur Internet, même moins largement déployée, est immédiatement scrutée dès la publication d’un bulletin de sécurité.

Vulnérabilité :

• CVE-2026-39987 : Une faille d’exécution de code à distance (RCE) pré-authentifiée avec un score CVSS de 9.3. Elle résulte d’une absence de validation d’authentification sur le point de terminaison WebSocket /terminal/ws.
• Versions affectées : Toutes les versions de Marimo antérieures et incluant la 0.20.4.

Recommandations :

• Mise à jour immédiate : Appliquer sans délai la mise à jour vers la version 0.23.0 ou ultérieure, qui corrige cette vulnérabilité.
• Surveillance active : Restreindre l’accès aux instances Marimo exposées sur le réseau public et surveiller les journaux d’activité des points de terminaison pour détecter d’éventuels accès non autorisés.

Source