駭客在 Marimo 開源響應式 Python notebook 平台的一個嚴重漏洞被公開披露僅 10 小時後就開始利用該漏洞。此漏洞允許攻擊者在 Marimo 0.20.4 及更早版本中無需身份驗證即可執行遠端程式碼。此漏洞的編號為CVE-2026-39987，GitHub 對其嚴重程度評分為 9.3 分（滿分 10 分）。

據雲端安全公司 Sysdig 的研究人員稱，攻擊者利用開發者安全公告中的資訊創建了一個漏洞利用程序，並立即開始利用該程序發動攻擊，竊取敏感資訊。

Marimo 是一個開源的Python notebook 環境，通常被資料科學家、機器學習/人工智慧從業者、研究人員和開發人員用於建立資料應用程式或儀表板。它是一個相當受歡迎的項目，在 GitHub 上擁有 20,000 個 star 和 1,000 個 fork。CVE-2026-39987 是由 WebSocket 端點「/terminal/ws」暴露互動終端而未進行適當的驗證檢查所引起的，允許任何未經驗證的用戶端進行連線。

Marimo 於 4 月 8 日披露了漏洞，並於昨天發布了0.23.0 版本進行修復。開發者指出，該漏洞會影響將 Marimo 部署為可編輯筆記本的用戶，以及在編輯模式下使用 `--host 0.0.0.0` 將 Marimo 暴露於共享網路的用戶。建議 Marimo 用戶立即升級到 0.23.0 版本，監控到「/terminal/ws」的 WebSocket 連接，透過防火牆限制外部存取，並輪換所有暴露的金鑰。如果無法升級，有效的緩解措施是完全阻止或停用對「/terminal/ws」端點的存取。

資料來源：https://www.bleepingcomputer.com/news/security/critical-marimo-pre-auth-rce-flaw-now-under-active-exploitation/