### Marimo脆弱性の迅速な悪用 Sysdigは、事前認証を必要としないリモートコード実行（RCE）の脆弱性であるCVE-2026-39987（CVSSスコア：9.3）が、公開開示から9時間41分以内に悪用されたと報告しました。この脆弱性は、Marimoのバージョン0.20.4以前のすべてのバージョンに影響します。この問題は、バージョン0.23.0で修正されています。 ### CVE-2026-39987の技術的詳細 根本原因は、適切な認証検証が欠如している`/terminal/ws` WebSocketエンドポイントにあります。Marimoのメンテナーによると、このエンドポイントは`validate_auth()`関数をバイパスするため、認証されていない攻撃者が完全なPTYシェルを取得し、任意のシステムコマンドを実行できるようになります。 他のWebSocketエンドポイント（例：`/ws`）とは異なり、`/terminal/ws`エンドポイントは接続を受け入れる前に、実行モードとプラットフォームのサポートのみを確認し、認証検証を完全にスキップします。 ### 攻撃者の行動 悪用試行では、ハニーポットシステム上の`/terminal/ws` WebSocketエンドポイントに接続しました。その後、攻撃者は手動で偵察を開始し、ファイルシステムを探索しました。数分以内に、攻撃者は`.env`ファイルからデータを収集し、SSHキーを探し、さまざまなファイルを読み取ることを体系的に試みました。 攻撃者は1時間後に戻り、`.env`ファイルの内容にアクセスし、他の脅威アクターの存在を確認しました。仮想通貨マイナーやバックドアなどの他のペイロードはインストールされませんでした。 ### 影響と推奨事項 概念実証（PoC）コードが容易に入手できない状況であっても、悪用の速さは、迅速なパッチ適用の重要性を強調しています。攻撃者は脆弱性の開示を積極的に監視し、それらを迅速に悪用しています。 Sysdigは、インターネットに公開されているアプリケーションで重大なアドバイザリが出された場合、その人気に関わらず潜在的な標的となることを強調しています。ITセキュリティ担当者およびプライバシーを重視するユーザーは、パッチ適用を優先し、ソフトウェアスタックに関連するセキュリティアドバイザリを定期的に監視することが強く推奨されます。