B
今週中
Python向けノートブックツール「Marimo」に、認証なしでリモートコード実行(RCE)が可能な深刻な脆弱性(CVE-2026-39987)
📌 一言でいうと
Python向けノートブックツール「Marimo」に、認証なしでリモートコード実行(RCE)が可能な深刻な脆弱性(CVE-2026-39987)が発見されました。この脆弱性は、特定のWebSocketエンドポイント(/terminal/ws)で認証検証が欠落しているために発生し、攻撃者はフルPTYシェルを直接取得できます。公開から10時間以内に悪用が確認されており、CVSSスコアは9.3と非常に高く、迅速なアップデートが推奨されています。
🏢影響範囲
Marimo(バージョン0.20.4以前)を利用してデータ分析や開発を行っている組織および個人
✅該当時の対応
Marimoを最新バージョン(0.23.0以降)にアップデートしてください。また、インターネットに直接公開している場合は、アクセス制限やVPNの導入を検討してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Marimo CVE-2026-39987 (RCE) 対応について
お疲れさまです。Marimoの深刻な脆弱性に関する情報共有です。
■ 概要
MarimoのWebSocketエンドポイント(/terminal/ws)において認証検証がスキップされる脆弱性が発見されました。攻撃者は認証なしで任意のシステムコマンドを実行し、フルPTYシェルを取得することが可能です。CVSSスコアは9.3と極めて高く、公開直後から悪用が確認されています。
■ 影響範囲
- 対象製品: Marimo
- 対象バージョン: 0.20.4 以前のすべてのバージョン
■ 対応手順
1. インストールされているMarimoのバージョンを確認してください。
2. 速やかにバージョン 0.23.0 以降へアップデートを適用してください。
3. 外部に公開しているインスタンスがある場合、パッチ適用までネットワーク的に隔離することを推奨します。
■ 参考情報
- CVE-2026-39987
- Marimo公式アドバイザリ
対応優先度: 高
対応期限: 直ちに
お疲れさまです。Marimoの深刻な脆弱性に関する情報共有です。
■ 概要
MarimoのWebSocketエンドポイント(/terminal/ws)において認証検証がスキップされる脆弱性が発見されました。攻撃者は認証なしで任意のシステムコマンドを実行し、フルPTYシェルを取得することが可能です。CVSSスコアは9.3と極めて高く、公開直後から悪用が確認されています。
■ 影響範囲
- 対象製品: Marimo
- 対象バージョン: 0.20.4 以前のすべてのバージョン
■ 対応手順
1. インストールされているMarimoのバージョンを確認してください。
2. 速やかにバージョン 0.23.0 以降へアップデートを適用してください。
3. 外部に公開しているインスタンスがある場合、パッチ適用までネットワーク的に隔離することを推奨します。
■ 参考情報
- CVE-2026-39987
- Marimo公式アドバイザリ
対応優先度: 高
対応期限: 直ちに
Subject: [Security Alert] Marimo CVE-2026-39987 RCE Vulnerability
Hi team,
This is a critical security update regarding Marimo.
■ Overview
A critical pre-authenticated Remote Code Execution (RCE) vulnerability (CVE-2026-39987, CVSS 9.3) has been identified in Marimo. The /terminal/ws WebSocket endpoint lacks authentication validation, allowing an unauthenticated attacker to obtain a full PTY shell and execute arbitrary system commands. Active exploitation has been observed shortly after disclosure.
■ Scope
- Product: Marimo
- Affected Versions: All versions up to and including 0.20.4
■ Remediation
1. Identify all instances of Marimo running in the environment.
2. Update Marimo to version 0.23.0 or later immediately.
3. Ensure that Marimo instances are not exposed to the public internet without proper network-level access controls.
■ Reference
- CVE-2026-39987
- Marimo Official Advisory
Priority: High
Deadline: Immediate
Hi team,
This is a critical security update regarding Marimo.
■ Overview
A critical pre-authenticated Remote Code Execution (RCE) vulnerability (CVE-2026-39987, CVSS 9.3) has been identified in Marimo. The /terminal/ws WebSocket endpoint lacks authentication validation, allowing an unauthenticated attacker to obtain a full PTY shell and execute arbitrary system commands. Active exploitation has been observed shortly after disclosure.
■ Scope
- Product: Marimo
- Affected Versions: All versions up to and including 0.20.4
■ Remediation
1. Identify all instances of Marimo running in the environment.
2. Update Marimo to version 0.23.0 or later immediately.
3. Ensure that Marimo instances are not exposed to the public internet without proper network-level access controls.
■ Reference
- CVE-2026-39987
- Marimo Official Advisory
Priority: High
Deadline: Immediate