CVSS 评分 9.3！Marimo 关键漏洞披露不到 10 小时被利用，组织需紧急应对

CVSS 评分 9.3！Marimo 关键漏洞披露不到 10 小时便被利用，组织需紧急应对

Sysdig 表示，CVSS 评分为 9.3 的漏洞可让攻击者在暴露的 Marimo 服务器上进行未认证的远程代码执行，且该漏洞在披露后不久便在现实中被利用。

据 Sysdig 威胁研究团队称，AI 云公司 CoreWeave 旗下的开源 Python 笔记本平台 Marimo 存在一个关键的预认证远程代码执行漏洞，此漏洞编号为 CVE - 2026 - 39987，严重程度评分为 9.3（满分 10 分），影响所有 0.23.0 之前的 Marimo 版本。该漏洞在公开披露不到 10 小时后便在现实中被利用。

Sysdig 团队在一篇博客文章中指出，该漏洞无需登录、无需窃取凭证，也无需复杂的利用手段。攻击者只需向暴露的 Marimo 服务器上的特定端点发送一个连接请求，就能完全控制该系统。此漏洞允许未认证的攻击者通过一次连接，在任何暴露的 Marimo 实例上获得完整的交互式 shell 并执行任意系统命令，无需凭证。

Marimo 团队在其 GitHub 安全公告中提到："Marimo 存在预认证远程代码执行（Pre - Auth RCE）漏洞。终端 WebSocket 端点 /terminal/ws 缺乏身份验证，允许未认证的攻击者获得完整的伪终端（PTY）shell 并执行任意系统命令。"

Marimo 是一个基于 Python 的响应式笔记本，在 GitHub 上约有 20000 颗星，于 2025 年 10 月被 CoreWeave 收购。

漏洞原理

Marimo 服务器内置了一个终端功能，允许用户直接从浏览器运行命令。该终端可通过网络访问，且无需进行任何身份验证检查，而同一服务器的其他部分在连接前正确地要求用户登录。"终端端点完全跳过了此检查，接受任何未认证用户的连接，并授予一个以 Marimo 进程权限运行的完整交互式 shell。"实际上，任何能通过互联网访问该服务器的人都可以直接进入一个实时命令 shell，通常还具有管理员级别的访问权限，而无需输入密码。

三分钟内窃取凭证

为追踪现实中的利用情况，Sysdig 团队在多个云服务提供商处部署了运行易受攻击 Marimo 实例的蜜罐服务器，并在漏洞披露 9 小时 41 分钟内观察到了首次利用尝试。当时还没有现成的利用工具，攻击者仅根据公告描述就自制了一个。

攻击者分四个阶段进行操作。第一个简短的阶段确认了该漏洞可被利用；第二个阶段是手动浏览服务器的文件系统；到第三个阶段，攻击者已定位并读取了一个包含 AWS 访问密钥和其他应用程序凭证的环境文件。整个操作耗时不到三分钟。"这是一次在不到三分钟内完成的完整凭证窃取操作。"

一个多小时后，攻击者返回再次检查相同的文件。这种行为更像是人工操作员按目标列表操作，而非自动扫描器所为。

漏洞利用趋势

这种快速利用的情况与 AI 和开源工具领域的一种趋势相符。今年早些时候，Sysdig 也追踪到 Langflow 的一个关键漏洞在披露后 20 小时内就被利用。而 Marimo 漏洞的利用时间窗口大约缩短了一半，且当时还没有公开的利用代码流传。

Sysdig 的文章称："小众或不太受欢迎的软件并不意味着更安全。"任何有公开关键安全公告且面向互联网的应用程序，无论其安装基数如何，在公告披露数小时内都会成为攻击目标。

Sysdig 指出，首次攻击发生时，Marimo 漏洞尚未分配 CVE 编号，这意味着依赖基于 CVE 扫描的组织根本不会标记该安全公告。此漏洞也符合人工智能相关开发工具中关键远程代码执行漏洞的模式，包括 MLflow、n8n 和 Langflow 等，这些工具为方便而构建的代码执行功能在没有一致的身份验证控制且暴露于互联网时会变得十分危险。

组织应对措施

Sysdig 表示，Marimo 已发布了 0.23.0 补丁版本，修复了终端端点的身份验证漏洞。运行任何早期版本的组织应立即更新。无法立即更新的团队应使用防火墙规则阻止对 Marimo 服务器的外部访问，或将其置于经过身份验证的代理之后。任何可公开访问的实例都应被视为可能已被入侵。

Sysdig 建议："作为预防措施，应轮换存储在这些服务器上的凭证，包括云访问密钥和 API 令牌。"

CoreWeave 未立即回应置评请求。

分类：安全、开发工具、软件开发