CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-39987

Critical
Published: Translated: NVD NIST

Summary

Marimo to reaktywny notatnik Pythona, który przed wersją 0.23.0 miał podatność na zdalne wykonanie kodu (RCE) bez uwierzytelnienia. Punkt końcowy WebSocket /terminal/ws nie weryfikuje uwierzytelnienia, co pozwala nieautoryzowanemu atakującemu uzyskać pełny dostęp do powłoki PTY i wykonywać dowolne polecenia systemowe.

Risk Assessment

Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym zdalne wykonywanie poleceń na serwerze bez potrzeby uwierzytelnienia. Może to prowadzić do przejęcia kontroli nad systemem i wycieku danych.

Recommendation

Zaleca się aktualizację do wersji 0.23.0 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt zabezpieczeń, aby zidentyfikować inne potencjalne luki w systemie.

Original NVD description (English source)

marimo is a reactive Python notebook. Prior to 0.23.0, Marimo has a Pre-Auth RCE vulnerability. The terminal WebSocket endpoint /terminal/ws lacks authentication validation, allowing an unauthenticated attacker to obtain a full PTY shell and execute arbitrary system commands. Unlike other WebSocket endpoints (e.g., /ws) that correctly call validate_auth() for authentication, the /terminal/ws endpoint only checks the running mode and platform support before accepting connections, completely skipping authentication verification. This vulnerability is fixed in 0.23.0.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS