Marimo RCE кемчилиги CVE-2026-39987 жарыялангандан кийин 10 саат ичинде пайдаланылды

Ой — Marimo ачык булактуу Python блокнот фреймворгу жаңы эле критикалык RCE кемчилигине (CVE-2026-39987) дуушар болду, колдонуучулар аны жарыялангандан кийин 10 саат ичинде пайдаланды. Аутентификация керек эмес, түз эле алыскы код аткаруу жана эсеп маалыматтарын уурдоо. Эгер сиз Marimo колдонуп жатсаңыз, АЗЫР түзөтүңүз.

Бул башка ката эмес — бул Marimo'нун WebSocket иштетүүсүндөгү толук аутентификациясыз алыскы код аткаруу кемчилиги. Колдонуучулар кемчилдүү экземплярларда эркин код аткара алышат, эсеп маалыматтарын уурдап, тармактарга терең кире алышат. Эксплойт ушунчалык тез куралдангандыктан, негизинен жарыялоодон эксплойтко чейинки ылдамдык рекордун сындырды.

Кемчилик Marimo WebSocket байланыштарды кантип иштеткенинде жатат, бул жаман ниеттүү жүктөмдөргө аутентификациядан өтүп, кодду түздөн-түз серверде аткарууга мүмкүндүк берет. Коопсуздук изилдөөчүлөр аны критикалык деп белгилешти, бирок коркунучтуу аракеттер күтүшпөдү — алар маалыматтар жарыялангандан кийин жарым күндөн аз убакыт ичинде пайдалана башташты.

Эгер сиз Marimo'ну data science, ИИ прототиптөө же интерактивдүү Python блокноттору үчүн колдонуп жатсаңыз, сиз коркунучтасыз. Фреймворктун технология жана изилдөөдө өсүп жаткан популярдуулугу аны жогорку баалуу максат кылат. Жапайы табиятта байкалган чабуул чынжырлары бул RCE аркылуу баштапкы кирүүнү, андан кийин эсеп маалыматтарын жыйноону жана горизонталдык кыймылдуулукту камтыйт.

Негизги нерсе: Бул супер ылдамдыктагы zero-day'дан n-day'га айланды. Marimo командасы түзөтүүлөрдү чыгарды — 1.2.3 жана андан жогорку версиялар коопсуз. Эгер сиз жаңыртпасаңыз, өзүңүздү сындырылган деп эсептеңиз. Өз экземплярларыңызды текшериңиз, эсеп маалыматтарыңызды алмаштырыңыз жана күбөлүк аракеттерди көзөмөлдөңүз. Бүгүнкү коркунуч ландшафтында 10 саат — бул кемчиликтен бүзүүгө өтүү үчүн керек болгон бардык убакыт.