{"id":522,"date":"2026-04-10T13:01:46","date_gmt":"2026-04-10T13:01:46","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/10\/fallo-de-marimo-rce-cve-2026-39987-explotado-dentro-de-las-10-horas-posteriores-a-la-divulgacion-cyberdefensa-mx\/"},"modified":"2026-04-10T13:01:46","modified_gmt":"2026-04-10T13:01:46","slug":"fallo-de-marimo-rce-cve-2026-39987-explotado-dentro-de-las-10-horas-posteriores-a-la-divulgacion-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/10\/fallo-de-marimo-rce-cve-2026-39987-explotado-dentro-de-las-10-horas-posteriores-a-la-divulgacion-cyberdefensa-mx\/","title":{"rendered":"Fallo de Marimo RCE CVE-2026-39987 explotado dentro de las 10 horas posteriores a la divulgaci\u00f3n \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"<div id=\"articlebody\">\n<p>Una vulnerabilidad de seguridad cr\u00edtica en <a href=\"https:\/\/docs.marimo.io\/\">marimo<\/a>un cuaderno Python de c\u00f3digo abierto para an\u00e1lisis y ciencia de datos, ha sido explotado dentro de las 10 horas posteriores a su divulgaci\u00f3n p\u00fablica, seg\u00fan <a href=\"https:\/\/www.sysdig.com\/blog\/marimo-oss-python-notebook-rce-from-disclosure-to-exploitation-in-under-10-hours\">recomendaciones<\/a> de Sysdig.<\/p>\n<p>La vulnerabilidad en cuesti\u00f3n es <strong>CVE-2026-39987<\/strong> (Puntuaci\u00f3n CVSS: 9,3), una vulnerabilidad de ejecuci\u00f3n remota de c\u00f3digo previamente autenticada que afecta a todas las versiones de Marimo anteriores a la 0.20.4 incluida. La cuesti\u00f3n ha sido abordada en <a href=\"https:\/\/github.com\/marimo-team\/marimo\/releases\/tag\/0.23.0\">versi\u00f3n 0.23.0<\/a>.<\/p>\n<p>\u00abEl terminal WebSocket \/terminal\/ws carece de validaci\u00f3n de autenticaci\u00f3n, lo que permite a un atacante no autenticado obtener un shell PTY completo y ejecutar comandos arbitrarios del sistema\u00bb, mantuvieron Marimo. <a href=\"https:\/\/github.com\/marimo-team\/marimo\/security\/advisories\/GHSA-2679-6mx9-h9xc\">dicho<\/a> en un aviso a principios de esta semana.<\/p>\n<p>\u00abA diferencia de otros puntos finales de WebSocket (por ejemplo, \/ws) que llaman correctamente a validar_auth() para la autenticaci\u00f3n, el punto final \/terminal\/ws solo verifica el modo de ejecuci\u00f3n y el soporte de la plataforma antes de aceptar conexiones, omitiendo por completo la verificaci\u00f3n de autenticaci\u00f3n\u00bb.<\/p>\n<p>En otras palabras, los atacantes pueden obtener un shell interactivo completo en cualquier instancia de Marimo expuesta a trav\u00e9s de una \u00fanica conexi\u00f3n WebSocket sin necesidad de credenciales.<\/p>\n<p>Sysdig dijo que observ\u00f3 el primer intento de explotaci\u00f3n dirigido a la vulnerabilidad dentro de las 9 horas y 41 minutos de su divulgaci\u00f3n p\u00fablica, con una operaci\u00f3n de robo de credenciales ejecutada en minutos, a pesar de que no hab\u00eda ning\u00fan c\u00f3digo de prueba de concepto (PoC) disponible en ese momento.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/vpn-risk-report-inside-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEgWajeG0cdaapf1GKTZRUZUB7BzuYGegyw5k0eAorJXlmkFdYCCeLXXhXYJuXU9lWD33rV6rRnIyly3czoNfYifpxk1eGA5slItPmim3HkubXoQMgC4J7hdQPywxGbWq7Eqeff_o6s2Fq-WmSFd5guwdLn7IqpveMqULqtVnd-ndnljWYGj45EkMFB7m0qm\/s728-e100\/z-d.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>Se dice que el actor de amenazas desconocido detr\u00e1s de la actividad se conect\u00f3 al punto final \/terminal\/ws WebSocket en un sistema honeypot e inici\u00f3 un reconocimiento manual para explorar el sistema de archivos y, minutos m\u00e1s tarde, intent\u00f3 recolectar sistem\u00e1ticamente datos del archivo .env, as\u00ed como buscar claves SSH y leer varios archivos.<\/p>\n<p>El atacante regres\u00f3 al honeypot una hora m\u00e1s tarde para acceder al contenido del archivo .env y verificar si otros actores de amenazas estaban activos durante el per\u00edodo de tiempo. No se instalaron otras cargas \u00fatiles, como mineros de criptomonedas o puertas traseras.<\/p>\n<p>\u00abEl atacante cre\u00f3 un exploit funcional directamente a partir de la descripci\u00f3n del aviso, se conect\u00f3 al terminal no autenticado y comenz\u00f3 a explorar manualmente el entorno comprometido\u00bb, dijo la compa\u00f1\u00eda de seguridad en la nube. \u00abEl atacante se conect\u00f3 cuatro veces durante 90 minutos, con pausas entre sesiones. Esto es consistente con un operador humano que trabaja en una lista de objetivos y regresa para confirmar los hallazgos\u00bb.<\/p>\n<p>La velocidad a la que se est\u00e1n utilizando como arma las fallas recientemente reveladas indica que los actores de amenazas est\u00e1n vigilando de cerca las revelaciones de vulnerabilidades y explot\u00e1ndolas r\u00e1pidamente durante el tiempo entre la divulgaci\u00f3n y la adopci\u00f3n del parche. Esto, a su vez, ha reducido el tiempo que los defensores deben responder una vez que se anuncia p\u00fablicamente una vulnerabilidad.<\/p>\n<p>\u00abLa suposici\u00f3n de que los atacantes s\u00f3lo apuntan a plataformas ampliamente implementadas es err\u00f3nea. Cualquier aplicaci\u00f3n orientada a Internet con un aviso cr\u00edtico es un objetivo, independientemente de su popularidad\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Una vulnerabilidad de seguridad cr\u00edtica en marimoun cuaderno Python de c\u00f3digo abierto para an\u00e1lisis y ciencia de datos, ha sido explotado dentro de las 10 horas posteriores a su divulgaci\u00f3n p\u00fablica, seg\u00fan recomendaciones de Sysdig. La vulnerabilidad en cuesti\u00f3n es CVE-2026-39987 (Puntuaci\u00f3n CVSS: 9,3), una vulnerabilidad de ejecuci\u00f3n remota de c\u00f3digo previamente autenticada que afecta [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":422,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[1720,24,1122,1123,66,990,737,95,1719,701,779],"class_list":["post-522","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-cve202639987","tag-cyberdefensa-mx","tag-dentro","tag-divulgacion","tag-explotado","tag-fallo","tag-horas","tag-las","tag-marimo","tag-posteriores","tag-rce"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/522","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=522"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/522\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/422"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=522"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=522"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=522"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}