В Банке данных угроз безопасности информации (BDU) зарегистрирована новая критическая уязвимость в фреймворке для работы с данными Marimo. Присвоенный идентификатор BDU:2026-05278 также связан с CVE-2025-39987. Проблема, оцененная по всем версиям CVSS как критическая, связана с полным отсутствием проверки подлинности в одной из ключевых функций системы. Соответственно, это создает серьезную угрозу для конфиденциальности, целостности и доступности обрабатываемой информации.
Детали уязвимости
Уязвимость существует в функции "validate_auth()" и классифицируется как CWE-306, то есть "Отсутствие аутентификации для критичной функции". По сути, эта функция, предназначенная для проверки прав доступа, не выполняет своей основной задачи. Следовательно, удаленный злоумышленник может получить несанкционированный доступ к защищенным операциям и данным. Эксперты отмечают, что подобные архитектурные недостатки особенно опасны, так как зачастую требуют глубоких изменений в коде для исправления.
Затронуты все версии Marimo до 0.23.0. Данный фреймворк набирает популярность в среде data science для создания интерактивных приложений и панелей управления. Фактически, его часто используют для визуализации и анализа чувствительной бизнес-информации. Поэтому успешная эксплуатация уязвимости может привести к утечке коммерческих данных, их искажению или полной блокировке доступа к приложениям.
Базовые векторы оценки CVSS демонстрируют максимальную серьезность угрозы. В частности, оценка по CVSS 3.1 достигает 9.8 баллов из 10. Это объясняется тем, что для атаки не требуется ни аутентификации (PR:N), ни взаимодействия с пользователем (UI:N), а сама уязвимость эксплуатируется через сеть (AV:N). Более того, потенциальное воздействие оценивается как высокое по всем компонентам: конфиденциальности (C:H), целостности (I:H) и доступности (A:H).
Производитель, Marimo Inc., уже подтвердил наличие проблемы и оперативно выпустил исправление. Таким образом, основным и единственным рекомендованным способом устранения риска является немедленное обновление программного обеспечения до версии 0.23.0 или выше. Соответствующий патч был представлен в pull request #9098 в официальном репозитории GitHub проекта. Кроме того, подробная информация содержится в выпущенном производителем уведомлением по безопасности GHSA-2679-6mx9-h9xc.
На текущий момент данные о наличии публичных эксплойтов, использующих эту уязвимость, уточняются. Однако из-за критического уровня опасности и простоты потенциальной эксплуатации, связанной с нарушением аутентификации, специалисты по кибербезопасности настоятельно рекомендуют не откладывать установку обновления. Задержка с применением патча создает окно для возможных атак, особенно со стороны автоматизированных скриптов, сканирующих интернет на наличие уязвимых систем.
Важно отметить, что подобные уязвимости подчеркивают необходимость тщательного аудита кода, особенно в open-source библиотеках, которые становятся частью критической бизнес-инфраструктуры. Иными словами, безопасность цепочки поставок программного обеспечения остается ключевым вызовом. Организациям следует не только следить за своевременным обновлением компонентов, но и внедрять практики безопасной разработки (Secure SDLC) для собственных проектов.
В заключение, уязвимость в Marimo служит очередным напоминанием о важности модели "нулевого доверия" (Zero Trust). Даже внутри доверенной экосистемы приложения каждый запрос к критичной функции должен проходить строгую проверку подлинности и авторизации. К счастью, в данном случае производитель быстро отреагировал, и защита доступна всем пользователям. Следовательно, оперативные действия по обновлению позволят эффективно нейтрализовать эту серьезную угрозу информационной безопасности.
Ссылки
- https://bdu.fstec.ru/vul/2026-05278
- https://www.cve.org/CVERecord?id=CVE-2026-39987
- https://www.suse.com/security/cve/CVE-2025-39987.html
- https://github.com/marimo-team/marimo/security/advisories/GHSA-2679-6mx9-h9xc
- https://github.com/marimo-team/marimo/pull/9098
- https://github.com/marimo-team/marimo/commit/c24d4806398f30be6b12acd6c60d1d7c68cfd12a
