JVNDB-2026-012956

CoreWeaveのmarimoにおける重要な機能に対する認証の欠如に関する脆弱性

marimoはリアクティブなPythonノートブックです。0.23.0以前のバージョンにおいて、Marimoには認証前リモートコード実行（Pre-Auth RCE）の脆弱性が存在していました。ターミナルのWebSocketエンドポイントである/terminal/wsは認証検証を欠いており、認証されていない攻撃者が完全なPTYシェルを取得して任意のシステムコマンドを実行できる状態でした。他のWebSocketエンドポイント（例えば/ws）は認証のために正しくvalidate_auth()を呼び出しますが、/terminal/wsエンドポイントは接続を受け入れる前に実行モードとプラットフォームのサポートのみを確認し、認証検証を完全にスキップしていました。この脆弱性は0.23.0で修正されています。

CoreWeave

• marimo 0.23.0 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : Pre-Auth Remote Code Execution via Terminal WebSocket Authentication Bypass  Advisory  marimo-team/marimo  GitHub

Sysdig, Inc.

• Sysdig, Inc. : Marimo OSS Python Notebook RCE: From Disclosure to Exploitation in Under 10 Hours | Sysdig

1. 重要な機能に対する認証の欠如(CWE-306) [その他]

1. CVE-2026-39987

1. National Vulnerability Database (NVD) : CVE-2026-39987
2. CISA Known Exploited Vulnerabilities Catalog : CVE-2026-39987
3. 関連文書 : fix: properly authenticate terminal route by mscolnick  Pull Request #9098  marimo-team/marimo  GitHub
4. 関連文書 : fix: properly authenticate terminal route (#9098)  marimo-team/marimo@c24d480  GitHub

• [2026年04月27日]
    掲載