技術的な説明
Marimo Python notebook の認証前リモートコード実行 (CVSS 9.3)。/terminal/ws WebSocket エンドポイントは認証検証を欠いており、認証されていない攻撃者に完全な PTY シェルアクセスを許可する。開示後 9 時間 41 分以内に野生で悪用される。
攻撃経路
/terminal/ws エンドポイントへの認証されていない WebSocket 接続は、他のエンドポイントが正しく実施する認証をバイパスする。攻撃者はルートシェルアクセス (デフォルト Docker イメージはルートとして実行される) を取得し、即座に LLM API キーとクラウド認証情報を収集する。
影響を受けるシステム
Marimo バージョン ≤0.20.4。Stanford、Mozilla AI、OpenAI、BlackRock で使用されており、Docker/GPU クラウドインスタンスに広く展開されている。
緩和策
Marimo 0.23.0 以上に直ちに更新する。すべての Marimo インスタンスをネットワークで分離する。公開されたシステムの API キーとクラウド認証情報をローテーションする。不正なアクセスについて監査する。