Penjelasan teknis
Marimo <0.23.0 mengekspos endpoint WebSocket terminal tanpa autentikasi, memungkinkan eksekusi kode jarak jauh tanpa autentikasi pada host yang menjalankan notebook — umum dalam alur kerja pengembangan AI/ML.
Vektor serangan
Jaringan, kompleksitas rendah. Penyerang terhubung ke WebSocket yang terekspos dan mengeluarkan perintah shell.
Sistem yang terdampak
Marimo <0.23.0 dengan endpoint WebSocket yang dapat dijangkau jaringan.
Mitigasi
Tingkatkan ke 0.23.0+. Batasi akses WebSocket; segmentasi lingkungan dev; pantau koneksi WebSocket yang anomali.