marimo 是一款近两年增长很快的开源 Python reactive notebook 框架，既可用于数据分析、机器学习实验和内部分析，也支持将 Notebook 直接运行成脚本或部署为 Web 应用。截至目前，marimo 在 GitHub 上已获得 20,379 Stars、1,030 Forks，是一款具备明显社区影响力的开源工具。

从官方文档和仓库描述看，marimo 的应用场景覆盖：

● 数据科学与机器学习实验

● SQL 查询与分析型 Notebook

● 内部分析平台与共享 Notebook

● 通过浏览器远程编辑和交付交互式 Web 应用

● AI 辅助开发与数据工作流场景

CVE-2026-39987漏洞的核心问题出在 marimo 的终端 WebSocket 端点 /terminal/ws。官方通告指出，这个端点在处理连接时没有完成应有的身份验证，导致未授权攻击者可以直接建立连接，并获得完整的交互式 PTY Shell。

简单来说，marimo 的其他 WebSocket 路径原本会校验认证状态，但 /terminal/ws 在特定实现路径上跳过了这一步。结果就是，攻击者不需要登录、不需要令牌，也不需要受害者额外交互，只要目标服务对外可达，就可能直接拿到 Shell 权限并执行系统命令。

受影响版本：

● 官方公开记录存在不一致。GitHub 安全通告正文写为 <= 0.20.4，CVE 官方记录写为 < 0.23.0。考虑到官方修复版本统一指向 0.23.0，建议实际排查和修复按 < 0.23.0 处理。

修复版本：

● marimo 0.23.0 及以上版本

攻击者攻击链路：

从公开信息看，攻击者的思路可以概括为：

1. 发现对外开放的 marimo 服务

2. 直接连接 /terminal/ws WebSocket 端点

3. 绕过身份验证，获得终端交互能力

4. 在服务器上执行命令，进一步读取敏感文件、窃取凭据或横向移动

由于整个过程不依赖账号密码，也不需要复杂 payload，这类漏洞非常容易被快速武器化。一旦武器化，攻击者就可以对外网暴露实例进行批量扫描和尝试利用。

▌漏洞风险分析

基于应用场景分析可引发的风险

marimo 应用场景贴近高价值环境，环境中往往自带：.env 文件、云平台密钥、内部 API 凭据、数据库连接信息、源代码仓库访问凭据等，一旦服务被直接拿到 Shell，后续风险通常不止于单一进程。

公网暴露风险已被观察到

Endor Labs 在公开研究中提到，他们对 186 个互联网可达的 marimo 基础 URL 做了仅限握手层面的无害验证，其中有 30 个样本能够直接完成未认证 /terminal/ws WebSocket 升级，占比约 16%。研究者同时指出，这只是一个有限样本，并不是整个互联网的上限统计，因此真实暴露面可能更大。

利用速度非常快

公开信息披露，在漏洞公开后的 10小时内，就已经观测到真实攻击尝试。说明攻击者对这类公开通告的响应速度已经非常快，修复窗口远比以往更短。

▌处置建议

1. 立即升级至 0.23.0 或更高版本

2. 收敛暴露面

    检查是否存在直接对公网开放的 marimo 服务

    收紧反向代理、端口暴露和访问控制策略

    暂时无法升级时，应优先限制网络可达性

3. 排查是否已被利用

    审查 /terminal/ws 相关 WebSocket 连接记录

    检查是否存在异常命令执行、异常进程树和异常外联行为

    重点检查 .env、SSH 密钥、云凭据、数据库连接配置是否被访问或泄露

4. 做好后续收敛

    对可能暴露的密钥和凭据进行轮换

    将 Notebook 和 AI 分析类服务纳入攻击面持续管理范围

    对外部可达的开发、分析和调试类服务建立固定清单和周期审计机制

▌产品支持情况

▌参考