🔥 この記事の詳細
2026-06-02 更新
B
今週中

Pythonのインタラクティブ計算環境「Marimo」の重大な脆弱性(CVE-2026-39987)を悪用した攻撃

脆弱性🌐 英語ソース📰 2記事🌐 2 countries
🇹🇼 Taiwan · 🇹🇭 Thailand
🔢 CVECVE-2026-39987
📅 2026-06-02📰 ithome_tw
📌 一言でいうと
Pythonのインタラクティブ計算環境「Marimo」の重大な脆弱性(CVE-2026-39987)を悪用した攻撃が確認されました。攻撃者はAIエージェントを利用して攻撃を自動化し、Cloudflare Workersを介してIPアドレスを分散させることでAWSの検知を回避し、内部のPostgreSQLデータベースからデータを窃取しています。特に、LLMによって生成されたと思われる動的なスクリプトや簡体字中国語のコメントが観測されており、AIを用いた高度な攻撃手法が用いられています。
🔍該当判定
  • Pythonのインタラクティブ計算環境「Marimo」を社内で導入・利用している
  • サーバー上で「Marimo」を動作させ、外部(インターネット)からアクセス可能な状態にしている
  • AWS Secrets ManagerやPostgreSQLなどのクラウドデータベースを、Marimoが動作する環境から操作している
上記いずれにも該当しない → 静観でOK
該当時の対応
1. Marimoを最新バージョンにアップデートし、CVE-2026-39987への対策を適用すること。2. AWS Secrets Managerなどの機密情報管理サービスのアクセス権限を最小限に制限すること。3. 異常なSSH接続やデータベースへの大量アクセスがないかログを監視すること。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Marimo CVE-2026-39987 の悪用とAIエージェントによる攻撃について

お疲れさまです。Marimoに関する脆弱性悪用の情報共有です。

■ 概要
Pythonの計算環境Marimoにおける脆弱性 CVE-2026-39987 が悪用されています。攻撃者はAIエージェントを用いて攻撃を自動化し、Cloudflare WorkersによるIP分散を用いてAWSの防御を回避し、内部データベース(PostgreSQL)の情報を短時間で窃取する手法が確認されました。

■ 影響範囲
- 対象製品: Marimo (脆弱性 CVE-2026-39987 を含むバージョン)

■ 対応手順
1. 利用中のMarimoのバージョンを確認し、速やかに最新の修正済みバージョンへアップデートしてください。
2. AWS Secrets Manager 等の特権管理サービスのアクセスログを確認し、不審なIP(特にCloudflare Workers経由)からのアクセスがないか調査してください。
3. 内部データベースへのアクセス制御およびSSH Bastionサーバーの監視を強化してください。

■ 参考情報
- Sysdig セキュリティレポート

対応優先度: 高
対応期限: 速やかに
Subject: [Security Advisory] Exploitation of Marimo CVE-2026-39987 via AI Agents

Dear IT/Security Team,

We are sharing information regarding the active exploitation of CVE-2026-39987 in the Marimo Python environment.

■ Overview
Attackers are utilizing AI agents to automate the exploitation of CVE-2026-39987. By leveraging Cloudflare Workers to rotate egress IP addresses, they bypass AWS source-IP correlation defenses to access AWS Secrets Manager and exfiltrate data from internal PostgreSQL databases within minutes.

■ Scope
- Affected Product: Marimo (versions vulnerable to CVE-2026-39987)

■ Action Plan
1. Immediately update Marimo to the latest patched version.
2. Review access logs for AWS Secrets Manager and other sensitive services for suspicious activity, particularly from Cloudflare Workers IP ranges.
3. Enhance monitoring on SSH bastion servers and internal database access.

■ Reference
- Sysdig Security Report

Priority: High
Deadline: Immediate
📰 関連する 1 件の記事
thaicertMarimoの脆弱性(CVE-2026-39987)を悪用し、LLMエージェントを用いて自動的にシステムを侵害する攻撃
🔗 元の記事を読む
← トップへ戻る🗓 2026-06-02 のまとめ🔍 記事を検索