CVE-2026-39987Marimo Python10 Saatte İstismarSysdig Raporu

Marimo Python Notebook CVE-2026-39987: Açıklama Sonrası 10 Saatte İstismar, 3 Dakikada Kimlik Bilgisi Hırsızlığı

📅 8–10 Nisan 2026  ·  📰 Sysdig TRT / SecurityAffairs / THN  ·  TLP:WHITE

9.3
CVSS
CVE-2026-39987 (CVSS 9.3) — Marimo Python Notebook'ta /terminal/ws WebSocket endpoint'i kimlik doğrulama gerektirmiyor: saldırgan unauthenticated tam PTY shell elde edip keyfi sistem komutları çalıştırabiliyor.

Sysdig Tehdit Araştırma Ekibi'nin tespiti: Advisory yayımlandıktan 9 saat 41 dakika sonra ilk istismar girişimi gözlemlendi. Herhangi bir PoC kodu bulunmadan saldırgan, doğrudan advisory açıklamasından çalışan exploit geliştirdi. 3 dakika içinde kimlik bilgisi hırsızlığı tamamlandı.

Bu vaka iki kritik trendi teyit ediyor: (1) AI yardımıyla exploit geliştirme süresi dramatik biçimde düşüyor — PoC gereksiz. (2) Küçük ve niş araçlar da büyük tehdit aktörlerinin radarında. Langflow (CVE-2026-33017, 20 saat) ile kıyaslandığında süre neredeyse yarıya indi. CISA KEV son tarihi: 11 Nisan 2026 (geçti).
▸ ÖNERİLEN AKSİYONLAR
Marimo'yu anında v0.23.0'a yükseltin (≤ v0.20.4 etkileniyor)
/terminal/ws endpoint'ine erişimi firewall ile kısıtlayın
Marimo çalıştıran tüm ortamları ihlal edilmiş kabul edin ve credential rotation yapın
AI/ML geliştirme ortamlarında internet erişimini network segmentasyonla sınırlayın
CVE advisory yayımlandığında 24 saat içinde yama SLA'sı tanımlayın