更新時間:2026/04/24 17:39:35
發佈時間:2026/04/24 17:39:35
TLP:
(White)
得對外公開散布,但不得違反著作權法等相關規定
更新說明:
一、漏洞說明[1][2]
Python資料分析工具Marimo存在一項遠端程式碼執行漏洞(CVE-2026-39987)。該漏洞源於終端機(遠端命令操作介面)WebSocket端點 /terminal/ws 未進行身分驗證,與其他會呼叫 validate_auth() 進行驗證的端點(如 /ws)不同,該端點僅檢查執行模式及平台支援情形即接受連線。未經身分驗證的攻擊者可透過該端點取得完整 PTY(Pseudo-Terminal)Shell,並於系統上執行任意指令。
二、已揭露攻擊活動說明
1. CISA已納入漏洞利用清單。[3]
2. GitHub已有PoC程式碼。[1]
3. Sysdig已發布技術分析報告。[4]
三、F-ISAC彙整Sysdig所提供入侵威脅指標如附檔。
▶ 漏洞資訊
⌵
名稱:
CVE-2026-39987
描述:
使用版本:CVSS 4.0
分析分數:9.3
參考來源:GitHub Advisory
▶ 影響平台
⌵
影響平台-系統:
1. Marimo 0.23.0(不含)以前版本受影響,建議升級至0.23.0或以上版本。
▶ 建議措施
⌵
1. 官方已發布修補程式,建議會員依據單位內漏洞管理機制進行相關作業。
2. 建議會員可透過單位內設備觀察是否曾有對這些(可疑)IP、網域之連線紀錄,進行分析及風險評估(建議確認連線請求者是否為正常或合法的連線),並依照既有防護設備採取對應防護措施。建議會員可定期檢視入侵威脅指標之觸發情形,如長時間未觸發,則可評估移除或調整處理方式(例如由封鎖轉為監控)。另可依自身需求及不同類型入侵威脅指標之時效性差異評估檢視頻率,例如IP位址、網域名稱、URL及E-mail等通常變動較快,可每1至3個月重新檢視一次;而檔案雜湊值(Hash)等檔案特徵型指標相對穩定,通常不易因時間經過而改變其惡意特性,故可適度延長保留期限。
▶ IoC資料欄位
⌵
| 類別 | 內容 |
|---|---|
| DOMAIN | bskke4.dnslog.cn |
| HASH(MD5) | bdcb5867f73beae89c3fce46ad5185be |
| HASH(MD5) | 1d36de06a6240919189cb46e0bcccc3c |
| HASH(SHA1) | 049c35fa746a8b86c100bf6b348ef6163b215898 |
| HASH(SHA1) | 9c363fbcc86662ce15cee15e5dd16b71b769ceb4 |
| HASH(SHA256) | 25e4b2c4bb37f125b693a9c57b0e743eab2a3d98234f7519cd389e788252fd13 |
| HASH(SHA256) | 27c62a041cc3c88df60dfceb50aa5f2217e1ac2ef9e796d7369e9e1be52ebb64 |
| HASH(SHA256) | f2960805f89990cb28898e892bbdc5a2f86b6089c68f4ab7f2f5e456a8d0c21d |
| IPv4 | 111.90.145.139 |
| IPv4 | 120.227.46.184 |
| IPv4 | 159.100.6.251 |
| IPv4 | 160.30.128.100 |
| IPv4 | 160.30.128.96 |
| IPv4 | 160.30.128.97 |
| IPv4 | 160.30.128.98 |
| IPv4 | 160.30.128.99 |
| IPv4 | 185.187.207.193 |
| IPv4 | 185.188.61.216 |
| IPv4 | 185.225.17.176 |
| IPv4 | 203.10.98.186 |
| IPv4 | 38.147.173.172 |
| IPv4 | 45.147.97.11 |
| IPv4 | 60.249.14.39 |
| IPv4 | 92.208.115.60 |
| URL | https://vsccode-modetx.hf.space/ |
| URL | https://vsccode-modetx.hf.space/install-linux.sh |
| URL | https://vsccode-modetx.hf.space/kagent |
▶ 參考資訊
⌵
| 編號 | 網址 | 說明 |
|---|---|---|
| 1 | https://github.com/marimo-team/marimo/security/advisories/GHSA-2679-6mx9-h9xc | GitHub Advisory(Marimo) |
| 2 | https://nvd.nist.gov/vuln/detail/CVE-2026-39987 | NVD |
| 3 | https://www.cisa.gov/known-exploited-vulnerabilities-catalog | CISA |
| 4 | https://www.sysdig.com/blog/cve-2026-39987-update-how-attackers-weaponized-marimo-to-deploy-a-blockchain-botnet-via-huggingface | Sysdig |
情資編號:
FISAC-200-202604-0010
系統目錄:
資安漏洞
資安類別:
漏洞公告 /
影響等級:
3
關鍵字:
弱點漏洞