Retour à l'accueil

Vulnérabilité Marimo CVE-2026-39987 : Vol de clés en 3 minutes

Vulnérabilité critique CVE-2026-39987 dans Marimo permet l'exécution de code à distance via le terminal WebSocket ouvert. Les attaquants volent les clés cloud en quelques minutes, attaques enregistrées par Sysdig. Mise à jour immédiate et changement de secrets recommandés pour minimiser les risques.

Hackers piratent Marimo en 180 secondes : Détails de la vulnérabilité
Advertisement 728x90

Vulnérabilité critique Marimo : les hackers volent des clés cloud en quelques minutes via un terminal ouvert

Une vulnérabilité critique CVE-2026-39987 dans la plateforme de notebooks Python Marimo a permis aux attaquants d’obtenir un accès distant non autorisé aux systèmes. Les attaques ont commencé à peine 10 heures après la divulgation du problème, ciblant principalement le vol de credentials pour services cloud.

Détails techniques de l'incident

Cette faille concerne les versions de Marimo antérieures à 0.20.4 et est liée au point d’accès WebSocket /terminal/ws. Cet endpoint fournit un terminal interactif sans aucun contrôle d’accès, donnant à l’attaquant les privilèges du processus en cours. Le score CVSS s’élève à 9,3 sur 10, soulignant un risque majeur.

Les développeurs ont identifié le problème le 8 avril 2026 et ont publié rapidement un correctif dans la version 0.23.0. Toutefois, dans les 12 premières heures suivant la publication, Sysdig a détecté des activités de balayage provenant de 125 adresses IP. La première exploitation a eu lieu en moins de 10 heures.

Google AdInline article slot

Scénario d’exploitation et vitesse d’attaque

Les attaquants ont utilisé une séquence simple :

  • Se connecter au WebSocket.
  • Vérifier l’environnement avec les commandes pwd, whoami, ls.
  • Chercher des fichiers .env et des clés SSH.
  • Extraire les variables d’environnement contenant les clés des services cloud.

L’ensemble du processus a pris environ 180 secondes. Les attaques étaient manuelles : aucune installation de logiciels malveillants ni de minage n’a été observé, l’objectif étant une extraction rapide des données. Une adresse IP s’est même reconnectée une heure plus tard pour vérifier si des informations supplémentaires étaient disponibles.

Risques pour les développeurs et les data scientists

Marimo est populaire auprès des analystes de données et des spécialistes du machine learning grâce à ses notebooks Python interactifs. La vulnérabilité est particulièrement critique lorsqu’il est exécuté avec l’option --host 0.0.0.0, qui ouvre l’accès depuis les réseaux externes. Cela peut entraîner la compromission des clés AWS, Google Cloud ou d’autres services, menant à des fuites de données, des pertes financières ou des attaques en chaîne.

Google AdInline article slot

Mesures de protection et recommandations

  • Mettre à jour immédiatement vers la version 0.23.0.
  • Restreindre l’accès réseau à Marimo.
  • Surveiller les connexions vers /terminal/ws.
  • Renouveler toutes les clés potentiellement compromises.
  • Utiliser des VPNs ou des pare-feu pour l’édition.

Points clés à retenir

  • La faille permet un RCE sans authentification, mettant en danger des milliers de développeurs.
  • Les attaques ont commencé 10 heures après la divulgation — la vitesse d’exploitation augmente.
  • La cible principale est les secrets cloud stockés dans les fichiers .env.
  • Un correctif est disponible, mais le balayage continue depuis des centaines d’adresses IP.
  • L’incident souligne les risques liés aux outils ouverts pour la science des données.

Contexte et implications sectorielles

De telles vulnérabilités sont fréquentes dans les outils de développement où la commodité entre en conflit avec la sécurité. En 2025–2026, des problèmes similaires ont été signalés dans Jupyter et Streamlit, entraînant une augmentation de 40 % des attaques selon Sysdig. Les conséquences incluent la perte de contrôle par les entreprises sur leurs ressources cloud, renforçant ainsi la nécessité de modèles zero-trust. Pour l’Europe et l’Amérique latine, cela revêt une importance particulière en raison du transfert croissant de la science des données vers le cloud — les violations pourraient violer le RGPD ou les réglementations locales.

— Editorial Team

Advertisement 728x90

Lire ensuite