11 de abril de 2026

Vulnerabilidad crítica en Marimo explotada en menos de 10 horas tras su divulgación

Vulnerabilidad crítica en Marimo explotada en menos de 10 horas tras su divulgación

Una vulnerabilidad crítica en Marimo, un cuaderno de Python de código abierto utilizado para la ciencia de datos y el análisis, ha sido explotada en menos de 10 horas después de su divulgación pública. Este hallazgo fue reportado por Sysdig, una empresa de seguridad en la nube, lo que subraya la rapidez con la que los ciberdelincuentes pueden aprovechar las vulnerabilidades recién descubiertas.

Detalles de la vulnerabilidad CVE-2026-39987

La vulnerabilidad, identificada como CVE-2026-39987 (CVE es un identificador estándar para vulnerabilidades de seguridad) con una puntuación CVSS de 9.3 (un sistema de puntuación para la gravedad de las vulnerabilidades), permite la ejecución remota de código antes de la autenticación. Esto significa que un atacante podría ejecutar comandos en el sistema afectado sin necesidad de credenciales. Afecta a todas las versiones de Marimo anteriores a la 0.23.0, versión en la que se corrigió el fallo.

  • El problema reside en el endpoint WebSocket /terminal/ws, que carece de validación de autenticación.
  • Un atacante no autenticado puede obtener un shell PTY completo (una interfaz de línea de comandos) y ejecutar comandos arbitrarios en el sistema.
  • A diferencia de otros endpoints WebSocket, /terminal/ws omite la verificación de autenticación, lo que facilita el acceso no autorizado.

Cómo se produjo la explotación

Sysdig observó el primer intento de explotación en menos de 10 horas después de la divulgación pública. El atacante se conectó al endpoint /terminal/ws en un sistema honeypot (un sistema trampa diseñado para atraer ataques) e inició un reconocimiento manual del sistema de archivos. Rápidamente, intentó robar datos del archivo .env, buscar claves SSH y leer otros archivos sensibles.

  • El atacante construyó un exploit (un programa que aprovecha una vulnerabilidad) directamente a partir de la descripción de la vulnerabilidad.
  • Se conectó al endpoint del terminal no autenticado y comenzó a explorar el entorno comprometido manualmente.
  • El atacante se conectó cuatro veces en 90 minutos, con pausas entre sesiones, lo que sugiere la participación de un operador humano.

Qué significa esto para ti

Este incidente demuestra que los atacantes están monitoreando de cerca las divulgaciones de vulnerabilidades y explotándolas rápidamente, incluso antes de que haya código de prueba de concepto (PoC) disponible. Esto reduce el tiempo que tienen los defensores para responder y aplicar parches. Es crucial actualizar Marimo a la versión 0.23.0 o posterior lo antes posible. Además, es importante recordar que cualquier aplicación expuesta a Internet con una vulnerabilidad crítica es un objetivo potencial, independientemente de su popularidad.

Fuente: https://thehackernews.com/2026/04/marimo-rce-flaw-cve-2026-39987.html
← Anterior Cuidado con las extensiones de navegador...
Escrito por:
Luis Carreón
📰 Otras noticias del día
Autoridades usaron herramienta Webloc para rastrear 500 millones de dispositivos a través de datos publicitarios
Campaña 'GlassWorm' infecta IDEs de desarrolladores con un nuevo 'dropper' sigiloso
Cuidado con las extensiones de navegador con IA: un nuevo vector de ataque que está pasando desapercibido
📧 Suscríbete

Recibe las últimas noticias de ciberseguridad directamente en tu email.

CiberRadar
← Volver al inicio