Une seule connexion non authentifiée donne aux attaquants une protection complète ; vol d’identifiants observé en moins de trois minutes sur les serveurs honeypot.
Une vulnérabilité critique d’exécution de code à distance de pré-authentification dans Marimo, une plate-forme de bloc-notes Python open source appartenant à la société de cloud computing CoreWeave, a été exploitée dans la nature moins de 10 heures après sa divulgation publique, selon l’équipe de recherche sur les menaces de Sysdig.
La vulnérabilité, identifiée comme CVE-2026-39987 avec un score de gravité de 9,3 sur 10, affecte toutes les versions de Marimo antérieures à la 0.23.0.
Il ne nécessite aucune connexion, aucun identifiant volé et aucun exploit complexe. Un attaquant n’a besoin que d’envoyer une seule demande de connexion à un point de terminaison spécifique sur un serveur Marimo exposé pour prendre le contrôle complet du système, a écrit l’équipe Sysdig dans un article de blog.
La faille permet à un attaquant non authentifié d’obtenir un shell interactif complet et d’exécuter des commandes système arbitraires sur n’importe quelle instance Marimo exposée via une seule connexion, sans aucune information d’identification requise, indique le message.
« Marimo présente une vulnérabilité Pre-Auth RCE », a écrit l’équipe Marimo dans son avis de sécurité GitHub. « Le point de terminaison WebSocket du terminal /terminal/ws manque de validation d’authentification, ce qui permet à un attaquant non authentifié d’obtenir un shell PTY complet et d’exécuter des commandes système arbitraires. »
Marimo est un notebook réactif basé sur Python avec environ 20 000 étoiles sur GitHub et a été acquis par CoreWeave en octobre 2025.
Comment fonctionne la faille
Le serveur de Marimo comprend une fonctionnalité de terminal intégrée qui permet aux utilisateurs d’exécuter des commandes directement depuis le navigateur. Ce terminal était accessible sur le réseau sans aucune vérification d’authentification, alors que d’autres parties du même serveur exigeaient correctement que les utilisateurs se connectent avant de se connecter, indique le message.
« Le point de terminaison du terminal ignore complètement cette vérification, acceptant les connexions de tout utilisateur non authentifié et accordant un shell interactif complet fonctionnant avec les privilèges du processus Marimo », ajoute le message.
En termes pratiques, toute personne pouvant accéder au serveur via Internet pouvait accéder directement à un shell de commande en direct, souvent avec un accès de niveau administrateur, sans jamais saisir de mot de passe, a déclaré l’équipe de Sysdig.
Identifiants volés en moins de trois minutes
Pour suivre l’exploitation dans le monde réel, nous avons déployé des serveurs honeypot exécutant des instances Marimo vulnérables sur plusieurs fournisseurs de cloud et observé la première tentative d’exploitation dans les 9 heures et 41 minutes suivant la divulgation. Aucun outil d’exploitation prêt à l’emploi n’existait à l’époque. L’attaquant en avait construit un en utilisant uniquement la description consultative, ont écrit les chercheurs de Sysdig.
L’attaquant a travaillé par étapes sur quatre sessions. Une brève première session a confirmé que la vulnérabilité était exploitable. Une deuxième session impliquait de parcourir manuellement le système de fichiers du serveur. Dès la troisième session, l’attaquant avait localisé et lu un fichier d’environnement contenant les clés d’accès AWS et d’autres informations d’identification de l’application. L’ensemble de l’opération a duré moins de trois minutes, indique le message.
« Il s’agit d’une opération complète de vol d’identifiants exécutée en moins de 3 minutes », a écrit l’équipe Sysdig.
L’attaquant est ensuite revenu plus d’une heure plus tard pour revérifier les mêmes fichiers. Le comportement correspondait à celui d’un opérateur humain travaillant sur une liste de cibles plutôt qu’à un scanner automatisé, indique le message.
Fait partie d’un modèle d’élargissement
Le rythme d’exploitation s’aligne sur une tendance observée dans l’IA et les outils open source. Une faille critique dans Langflow a été exploitée dans les 20 heures suivant sa divulgation plus tôt cette année, également suivie par Sysdig. L’affaire Marimo a réduit cette fenêtre de moitié environ, sans qu’aucun code d’exploitation public ne soit en circulation à l’époque.
« Les logiciels de niche ou moins populaires ne sont pas des logiciels plus sûrs », indique le message de Sysdig. Toute application Internet avec un avis critique publié est une cible quelques heures après sa divulgation, quelle que soit sa base d’installation, ajoute-t-il.
Le cas Marimo n’avait pas de numéro CVE attribué au moment de la première attaque, ce qui signifie que les organisations dépendantes de l’analyse basée sur CVE n’auraient pas du tout signalé l’avis, a noté Sysdig.
La faille correspond également à un modèle de vulnérabilités RCE critiques dans les outils de développement adjacents à l’IA, notamment MLflow, n8n et Langflow, dans lesquels les fonctionnalités d’exécution de code conçues pour plus de commodité deviennent dangereuses lorsqu’elles sont exposées à Internet sans contrôles d’authentification cohérents.
Ce que les organisations devraient faire
Marimo a publié une version corrigée, 0.23.0, qui comble le fossé d’authentification dans le point de terminaison du terminal. Les organisations exécutant une version antérieure doivent mettre à jour immédiatement, a déclaré Sysdig.
Les équipes qui ne peuvent pas mettre à jour immédiatement doivent bloquer l’accès externe aux serveurs Marimo à l’aide de règles de pare-feu ou les placer derrière un proxy authentifié, indique le message. Toute instance accessible au public doit être traitée comme potentiellement compromise.
« Les informations d’identification stockées sur ces serveurs, y compris les clés d’accès au cloud et les jetons API, doivent être alternées par mesure de précaution », a conseillé Sysdig.
CoreWeave n’a pas immédiatement répondu à une demande de commentaire.
