Lỗ hổng nghiêm trọng trong Marimo bị khai thác chỉ sau vài giờ công bố

[WhiteHat Team]

Một lỗ hổng nghiêm trọng trong nền tảng notebook mã nguồn mở Marimo đang khiến cộng đồng an ninh mạng lo ngại khi bị khai thác gần như ngay lập tức, chỉ sau 9 giờ kể từ lúc công bố.
​

​

Lỗ hổng mang mã CVE-2026-39987 (điểm CVSS 9,3), cho phép thực thi mã từ xa mà không cần đăng nhập. Nguyên nhân xuất phát từ endpoint /terminal/ws khi hệ thống bỏ qua bước kiểm tra xác thực, vô tình mở cửa cho bất kỳ ai kết nối vào terminal.

Điều này cho phép kẻ tấn công truy cập trực tiếp vào môi trường hệ thống, thực thi lệnh, đọc file và đánh cắp dữ liệu nhạy cảm.

Theo ghi nhận, chỉ 9 giờ 41 phút sau công bố CVE-2026-39987 thì đã xuất hiện dấu hiệu khai thác. Đáng chú ý, dù chưa có mã khai thác công khai, kẻ tấn công vẫn tự dựng công cụ tấn công từ mô tả kỹ thuật, cho thấy tốc độ “vũ khí hóa” lỗ hổng ngày càng nhanh.

Dữ liệu từ hệ thống honeypot cho thấy kẻ tấn công chỉ mất vài phút để dò quét, thu thập thông tin đăng nhập và tìm kiếm khóa truy cập máy chủ. Toàn bộ quá trình xâm nhập diễn ra trong khoảng 3 phút. Đồng thời, hơn 100 địa chỉ khác cũng tham gia dò quét, làm gia tăng nguy cơ lây lan diện rộng.

Khuyến cáo khẩn cấp dành cho các quản trị hệ thống:​

• Cập nhật ngay Marimo lên phiên bản đã vá (từ 0.23.0 trở lên)
• Không mở hệ thống ra Internet nếu chưa có lớp bảo vệ đăng nhập
• Theo dõi nhật ký truy cập, đặc biệt các kết nối vào terminal từ xa
• Kiểm tra dấu hiệu rò rỉ dữ liệu, nhất là tài khoản và khóa truy cập

Theo Security Week​

​