В Marimo, open-source Python notebook от AI cloud-компании CoreWeave, обнаружили критическую уязвимость pre-authentication remote code execution, и, по данным Sysdig Threat Research Team, ее уже использовали в реальной атаке менее чем через 10 часов после публичного раскрытия. Проблема получила идентификатор CVE-2026-39987 и оценку 9,3 из 10, а затронуты все версии Marimo ниже 0.23.0.
Уязвимость не требует входа в систему, украденных учетных данных или сложной эксплуатации. Злоумышленнику достаточно отправить один запрос к определенной конечной точке на открытом Marimo-сервере, чтобы получить полный контроль над системой и выполнить произвольные команды. В самом Marimo это описали как Pre-Auth RCE: терминальный WebSocket endpoint /terminal/ws не проверяет аутентификацию и позволяет получить полноценную PTY-сессию без авторизации.
Marimo - это реактивный Python-notebook с примерно 20 тысячами звезд на GitHub. В октябре 2025 года проект был приобретен CoreWeave.
Как работает уязвимость
Встроенная терминальная функция Marimo позволяет запускать команды прямо из браузера. По данным Sysdig, доступ к этой функции был открыт по сети без проверки аутентификации, хотя другие части того же сервера требовали входа в систему.
Терминальная конечная точка полностью пропускала эту проверку и сразу предоставляла интерактивную оболочку с правами процесса Marimo. Иначе говоря, любой, кто мог достучаться до сервера из интернета, мог попасть в живую командную оболочку, часто с правами уровня администратора, без ввода пароля.
Учетные данные украли менее чем за три минуты
Чтобы отследить реальную эксплуатацию, Sysdig развернула honeypot-серверы с уязвимыми экземплярами Marimo в нескольких облаках. Первая попытка атаки произошла через 9 часов 41 минуту после раскрытия уязвимости. На тот момент готового публичного эксплойта еще не было, а атаку злоумышленник собрал сам, опираясь только на описание из advisory.
Атака шла в несколько этапов и уложилась в четыре сессии. Сначала злоумышленник коротко проверил, что уязвимость действительно работает. Затем он вручную просмотрел файловую систему сервера. На третьем этапе был найден и прочитан environment-файл, где лежали AWS access keys и другие учетные данные приложения. Вся операция заняла меньше трех минут. Позже атакующий вернулся еще раз, чтобы повторно проверить те же файлы. По оценке Sysdig, это выглядело как работа человека, который последовательно идет по списку целей, а не как автоматический сканер.
Часть более широкой тенденции
Скорость эксплуатации совпадает с общей тенденцией вокруг AI- и open-source-инструментов. Ранее в этом году критическую уязвимость в Langflow начали использовать через 20 часов после раскрытия, и Marimo сократил этот интервал почти вдвое, хотя публичного эксплойта еще не было. Sysdig также отмечает, что нишевое или менее популярное ПО не становится безопаснее только из-за своей редкости: любая доступная из интернета система с опубликованным критическим advisory становится целью в течение нескольких часов после раскрытия.
На момент первой атаки у Marimo еще не было CVE-номера, поэтому организации, которые полагаются только на CVE-сканирование, могли вообще не заметить предупреждение. Уязвимость также вписывается в более широкий ряд критических RCE-проблем в AI-смежных инструментах для разработчиков, включая MLflow, n8n и Langflow, где функции выполнения кода, удобные в локальном использовании, становятся опасными при открытии в интернет без стабильной аутентификации.
Что делать
Marimo выпустил исправленную версию 0.23.0, которая закрывает проблему аутентификации в терминальной конечной точке. Всем, кто использует более ранние версии, рекомендуется обновиться немедленно.
Если обновление невозможно сразу, Sysdig советует закрыть внешний доступ к Marimo с помощью firewall-правил или поместить сервис за аутентифицированный proxy. Любой экземпляр, который был доступен из интернета, следует считать потенциально скомпрометированным, а все учетные данные, хранившиеся на таких серверах, включая cloud access keys и API tokens, отозвать и заменить. CoreWeave на запрос о комментарии сразу не ответила.
Источник: InfoWorld