Vulnérabilité critique Marimo RCE exploitée en quelques heures après sa divulgation : course contre la montre pour le patching
Une vulnérabilité critique d'exécution de code à distance (RCE) dans le notebook open-source Python **Marimo**, **CVE-2026-39987**, a été activement exploitée dans les 10 heures suivant sa divulgation publique. Les chercheurs en sécurité de **Sysdig** ont observé la militarisation rapide de la faille, soulignant la fenêtre de plus en plus courte pour que les défenseurs appliquent les correctifs.
### Exploitation rapide de la vulnérabilité Marimo
**Sysdig** a rapporté que **CVE-2026-39987** (score CVSS : 9.3), une vulnérabilité d'exécution de code à distance pré-authentifiée, a été exploitée dans les 9 heures et 41 minutes suivant sa divulgation publique. Cette vulnérabilité affecte toutes les versions de **Marimo** antérieures à la version 0.20.4 incluse. Le problème a été corrigé dans la version 0.23.0.
### Détails techniques de CVE-2026-39987
La cause profonde réside dans le point de terminaison WebSocket `/terminal/ws`, qui manque de validation d'authentification appropriée. Selon les mainteneurs de **Marimo**, ce point de terminaison contourne la fonction `validate_auth()`, permettant aux attaquants non authentifiés d'obtenir un shell PTY complet et d'exécuter des commandes système arbitraires.
Contrairement à d'autres points de terminaison WebSocket (par exemple, `/ws`), le point de terminaison `/terminal/ws` vérifie uniquement le mode d'exécution et la prise en charge de la plateforme avant d'accepter les connexions, ignorant complètement la vérification de l'authentification.
### Les attaquants en action
Les tentatives d'exploitation ont impliqué la connexion au point de terminaison WebSocket `/terminal/ws` sur un système honeypot. L'attaquant a ensuite lancé une reconnaissance manuelle pour explorer le système de fichiers. En quelques minutes, ils ont systématiquement tenté de récolter des données du fichier `.env`, de rechercher des clés SSH et de lire divers fichiers.
L'attaquant est revenu une heure plus tard pour accéder au contenu du fichier `.env` et vérifier la présence d'autres acteurs malveillants. Aucun autre payload, tel que des mineurs de cryptomonnaies ou des backdoors, n'a été installé.
### Implications et recommandations
La rapidité de l'exploitation, même sans code de preuve de concept (PoC) facilement disponible, souligne l'importance d'un patching rapide. Les attaquants surveillent activement les divulgations de vulnérabilités et les militarisation rapidement.
**Sysdig** souligne que toute application exposée sur Internet avec un avis critique est une cible potentielle, quelle que soit sa popularité. Les professionnels de la sécurité informatique et les utilisateurs soucieux de leur vie privée sont invités à prioriser le patching et à surveiller régulièrement les avis de sécurité relatifs à leur pile logicielle.