Giriş
Marimo, veri bilimi ve analiz için açık kaynak bir Python not defteri olarak önemli bir siber güvenlik açığına maruz kalmıştır. Bu uygun fiyatta gerçekleştirilen uzaktan kod çalıştırma saldırısı, kamuya açıklanmasının ardından yalnızca 10 saat içinde kullanılmaya başlanmıştır.
Saldırı Nasıl Çalışıyor?
Açıklanan zafiyetin kodu CVE-2026-39987 (CVSS skoru: 9.3) olup, Marimo’nun 0.20.4 ve öncesindeki tüm versiyonlarını etkilemektedir. Zafiyet, /terminal/ws WebSocket uç noktasındaki kimlik doğrulama eksikliğinden kaynaklanmakta ve yetkisiz bir kullanıcının tam bir PTY shell elde ederek sistem komutları çalıştırmasına olanak tanımaktadır. Marimo bakımcıları, “Bu uç nokta, kimlik doğrulama doğrulamasını tamamen atlayarak bağlantıları kabul etmekte ve yalnızca çalışma modunu ve platform desteğini kontrol etmektedir” demiştir.
Etkilenen Sistemler
Bu zafiyet, aşağıdaki versiyonlarda bulunan tüm Marimo kurulumlarını etkilemektedir:
- 0.20.4 ve öncesi versiyonlar
Çözüm ve Korunma
Marimo’nun bu zafiyeti, 0.23.0 sürümünde düzeltilmiştir. Kuruluşların bu zafiyetten korunmak için aşağıdaki adımları atması önerilmektedir:
- Marimo kurulumlarını 0.23.0 veya üzeri versiyonlara güncelleyin.
- Özellikle /terminal/ws uç noktasına erişimi kısıtlayın veya devre dışı bırakın.
- Açık kaynak bileşenler için güvenlik güncellemelerini düzenli olarak takip edin.
Sonuç
Özellikle bu tür kritik zafiyetlerin hızlı bir şekilde sömürüldüğü göz önünde bulundurulduğunda, kullanıcıların derhal güncelleme yapmaları ve güvenlik önlemlerini artırmaları büyük önem taşımaktadır. Marimo kurulumlarınızı güncelleyerek güvenliğinizi sağlamanız hayati önem taşımaktadır.
