CVSS 评分 9.3Marimo 关键漏洞披露不到 10 小时便被利用组织需紧急应对Sysdig 表示CVSS 评分为 9.3 的漏洞可让攻击者在暴露的 Marimo 服务器上进行未认证的远程代码执行且该漏洞在披露后不久便在现实中被利用。据 Sysdig 威胁研究团队称AI 云公司 CoreWeave 旗下的开源 Python 笔记本平台 Marimo 存在一个关键的预认证远程代码执行漏洞此漏洞编号为 CVE - 2026 - 39987严重程度评分为 9.3满分 10 分影响所有 0.23.0 之前的 Marimo 版本。该漏洞在公开披露不到 10 小时后便在现实中被利用。Sysdig 团队在一篇博客文章中指出该漏洞无需登录、无需窃取凭证也无需复杂的利用手段。攻击者只需向暴露的 Marimo 服务器上的特定端点发送一个连接请求就能完全控制该系统。此漏洞允许未认证的攻击者通过一次连接在任何暴露的 Marimo 实例上获得完整的交互式 shell 并执行任意系统命令无需凭证。Marimo 团队在其 GitHub 安全公告中提到Marimo 存在预认证远程代码执行Pre - Auth RCE漏洞。终端 WebSocket 端点 /terminal/ws 缺乏身份验证允许未认证的攻击者获得完整的伪终端PTYshell 并执行任意系统命令。Marimo 是一个基于 Python 的响应式笔记本在 GitHub 上约有 20000 颗星于 2025 年 10 月被 CoreWeave 收购。漏洞原理Marimo 服务器内置了一个终端功能允许用户直接从浏览器运行命令。该终端可通过网络访问且无需进行任何身份验证检查而同一服务器的其他部分在连接前正确地要求用户登录。终端端点完全跳过了此检查接受任何未认证用户的连接并授予一个以 Marimo 进程权限运行的完整交互式 shell。实际上任何能通过互联网访问该服务器的人都可以直接进入一个实时命令 shell通常还具有管理员级别的访问权限而无需输入密码。三分钟内窃取凭证为追踪现实中的利用情况Sysdig 团队在多个云服务提供商处部署了运行易受攻击 Marimo 实例的蜜罐服务器并在漏洞披露 9 小时 41 分钟内观察到了首次利用尝试。当时还没有现成的利用工具攻击者仅根据公告描述就自制了一个。攻击者分四个阶段进行操作。第一个简短的阶段确认了该漏洞可被利用第二个阶段是手动浏览服务器的文件系统到第三个阶段攻击者已定位并读取了一个包含 AWS 访问密钥和其他应用程序凭证的环境文件。整个操作耗时不到三分钟。这是一次在不到三分钟内完成的完整凭证窃取操作。一个多小时后攻击者返回再次检查相同的文件。这种行为更像是人工操作员按目标列表操作而非自动扫描器所为。漏洞利用趋势这种快速利用的情况与 AI 和开源工具领域的一种趋势相符。今年早些时候Sysdig 也追踪到 Langflow 的一个关键漏洞在披露后 20 小时内就被利用。而 Marimo 漏洞的利用时间窗口大约缩短了一半且当时还没有公开的利用代码流传。Sysdig 的文章称小众或不太受欢迎的软件并不意味着更安全。任何有公开关键安全公告且面向互联网的应用程序无论其安装基数如何在公告披露数小时内都会成为攻击目标。Sysdig 指出首次攻击发生时Marimo 漏洞尚未分配 CVE 编号这意味着依赖基于 CVE 扫描的组织根本不会标记该安全公告。此漏洞也符合人工智能相关开发工具中关键远程代码执行漏洞的模式包括 MLflow、n8n 和 Langflow 等这些工具为方便而构建的代码执行功能在没有一致的身份验证控制且暴露于互联网时会变得十分危险。组织应对措施Sysdig 表示Marimo 已发布了 0.23.0 补丁版本修复了终端端点的身份验证漏洞。运行任何早期版本的组织应立即更新。无法立即更新的团队应使用防火墙规则阻止对 Marimo 服务器的外部访问或将其置于经过身份验证的代理之后。任何可公开访问的实例都应被视为可能已被入侵。Sysdig 建议作为预防措施应轮换存储在这些服务器上的凭证包括云访问密钥和 API 令牌。CoreWeave 未立即回应置评请求。分类安全、开发工具、软件开发