CVE-2026-39987

Суть уязвимости

CVE-2026-39987 представляет собой критическую уязвимость типа Pre-authorization Remote Code Execution (RCE) в open-source редакторе Marimo. Проблема заключается в недостаточной фильтрации входных данных в эндпоинтах, доступных до прохождения аутентификации. Это позволяет удаленному неавторизованному злоумышленнику внедрять системные команды и получать полный доступ к оболочке (shell) сервера, на котором запущен экземпляр Marimo.

Как исправить

Основным способом устранения является обновление пакета marimo до версии, в которой исправлена данная ошибка (рекомендуется версия 0.10.0 или выше, в зависимости от официального патча).

Проверьте текущую версию:

marimo --version

Обновите marimo через менеджер пакетов pip:

pip install --upgrade marimo

Если вы используете conda:

conda update marimo

Перезапустите все активные процессы marimo для применения изменений.

Временные меры

Если немедленное обновление невозможно, примените следующие защитные механизмы:

Ограничьте доступ к сетевому интерфейсу, на котором запущен marimo, разрешив подключения только с доверенных IP-адресов через Firewall:

iptables -A INPUT -p tcp --dport 2718 -s 127.0.0.1 -j ACCEPT

Запускайте marimo с обязательным флагом авторизации по токену:

marimo edit --token-required

Изолируйте среду выполнения, запустив приложение внутри контейнера с ограниченными правами пользователя (non-root):

docker run -u 1000:1000 -p 2718:2718 marimo/marimo

Используйте Reverse Proxy (например, Nginx) перед marimo для настройки базовой аутентификации (Basic Auth) на уровне веб-сервера.