Critical Marimo pre-auth RCE flaw now under active exploitation
Mis à jour :
Exploitation active de la faille critique RCE dans Marimo
La plateforme open-source de notebooks Python, Marimo, fait l’objet d’attaques actives visant l’exécution de code à distance (RCE) moins de 10 heures après la publication de sa vulnérabilité. Des attaquants exploitent cette faille pour exfiltrer des identifiants cloud, des variables d’environnement et des clés SSH.
Points clés :
- Rapidité d’exploitation : Les tentatives d’intrusion ont commencé moins de 10 heures après la divulgation publique du correctif.
- Mode opératoire : Les attaquants ciblent les fichiers
.envet les clés SSH pour un vol rapide de secrets (opération menée en moins de trois minutes). - Cibles : Les utilisateurs exposant Marimo sur des réseaux partagés (via
--host 0.0.0.0) en mode édition sont les plus vulnérables.
Vulnérabilité :
- CVE-2026-39987 : Score critique de 9.3/10. Cette faille touche les versions 0.20.4 et antérieures. Elle est causée par l’absence d’authentification sur le point de terminaison WebSocket
/terminal/ws, permettant à tout client distant d’obtenir un accès shell interactif avec les privilèges du processus Marimo.
Recommandations :
- Mise à jour immédiate : Passer à la version 0.23.0.
- Mesures de contournement : En cas d’impossibilité de mise à jour, bloquer ou désactiver l’accès au point de terminaison
/terminal/ws. - Sécurisation du réseau : Restreindre l’accès externe via un pare-feu et éviter l’exposition de l’instance sur des réseaux non sécurisés.
- Réponse aux incidents : Procéder à la rotation immédiate de tous les secrets, clés API et clés SSH potentiellement compromis.