Exploitan RCE Crítica en Marimo Horas Después de su Divulgación: Una Carrera Contra el Tiempo para Parchear
Una vulnerabilidad crítica de ejecución remota de código (RCE) en el notebook de código abierto de Python **Marimo**, **CVE-2026-39987**, fue explotada activamente dentro de las 10 horas posteriores a su divulgación pública. Investigadores de seguridad de **Sysdig** observaron la rápida 'armatización' de la falla, lo que resalta la ventana de tiempo cada vez menor para que los defensores apliquen parches.
### Rápida Explotación de la Vulnerabilidad en Marimo
**Sysdig** reportó que **CVE-2026-39987** (puntaje CVSS: 9.3), una vulnerabilidad de ejecución remota de código pre-autenticada, fue explotada dentro de las 9 horas y 41 minutos de su divulgación pública. Esta vulnerabilidad afecta a todas las versiones de **Marimo** anteriores e incluyendo la 0.20.4. El problema ha sido abordado en la versión 0.23.0.
### Detalles Técnicos de CVE-2026-39987
La causa raíz se encuentra en el endpoint WebSocket `/terminal/ws`, que carece de una validación de autenticación adecuada. Según los mantenedores de **Marimo**, este endpoint omite la función `validate_auth()`, permitiendo a atacantes no autenticados obtener un shell PTY completo y ejecutar comandos arbitrarios del sistema.
A diferencia de otros endpoints WebSocket (por ejemplo, `/ws`), el endpoint `/terminal/ws` solo verifica el modo de ejecución y el soporte de plataforma antes de aceptar conexiones, omitiendo completamente la verificación de autenticación.
### Atacantes en Acción
Los intentos de explotación implicaron conectarse al endpoint WebSocket `/terminal/ws` en un sistema honeypot. El atacante procedió a realizar reconocimiento manual para explorar el sistema de archivos. En cuestión de minutos, intentaron sistemáticamente recolectar datos del archivo `.env`, buscar claves SSH y leer varios archivos.
El atacante regresó una hora después para acceder al contenido del archivo `.env` y verificar la presencia de otros actores de amenaza. No se instalaron otros payloads, como mineros de criptomonedas o backdoors.
### Implicaciones y Recomendaciones
La velocidad de la explotación, incluso sin código de prueba de concepto (PoC) fácilmente disponible, subraya la importancia de aplicar parches de manera oportuna. Los atacantes monitorean activamente las divulgaciones de vulnerabilidades y las 'arman' rápidamente.
**Sysdig** enfatiza que cualquier aplicación expuesta a Internet con un aviso crítico es un objetivo potencial, independientemente de su popularidad. Se insta a los profesionales de seguridad de TI y a los usuarios preocupados por la privacidad a priorizar la aplicación de parches y monitorear regularmente los avisos de seguridad relacionados con su pila de software.