Netcrook Logo
👤 KERNELWATCHER
🗓️ 10 Apr 2026  

De cero a shell: el cuaderno Marimo es explotado a toda velocidad tras la divulgación de una vulnerabilidad

Un fallo crítico de autenticación en el popular cuaderno de Python Marimo provocó ataques en vivo menos de 10 horas después de la advertencia pública, exponiendo los riesgos de una divulgación de vulnerabilidades a toda velocidad.

En el mundo de alto riesgo de la ciberseguridad, las horas - no los días - pueden marcar la diferencia entre la seguridad y el compromiso. Esto se demostró una vez más cuando Marimo, el ampliamente utilizado cuaderno de Python de código abierto, se convirtió en el escenario de una explotación relámpago tras la divulgación de una vulnerabilidad crítica. El fallo, que permitía a los atacantes tomar el control de sistemas vulnerables con facilidad, pasó de ser de conocimiento público a explotación activa en menos de diez horas - un ritmo vertiginoso que ha dejado atónita a la comunidad de desarrolladores.

Dentro de la brecha: de la divulgación a la explotación en nueve horas

El 8 de abril, los mantenedores de Marimo revelaron un descuido escalofriante: un endpoint de WebSocket de terminal (/terminal/ws) que eludía completamente la autenticación, abriendo la puerta a la ejecución remota de código (RCE) sin autenticación. A diferencia de otros endpoints que verificaban correctamente las credenciales, este simplemente comprobaba la compatibilidad de la plataforma antes de entregar las llaves del reino.

La firma de seguridad en la nube Sysdig dio la voz de alarma rápidamente después de que su honeypot detectara una explotación real apenas nueve horas y cuarenta y un minutos después de la publicación del aviso. El atacante, operando desde una sola dirección IP, ni siquiera necesitó un script de prueba de concepto (PoC): construyó un ataque funcional directamente a partir de los detalles técnicos del aviso. Tras conectarse al endpoint expuesto, el intruso comenzó a explorar el sistema, escaneando directorios, buscando claves SSH y, finalmente, exfiltrando archivos cargados de credenciales - todo en cuestión de minutos.

Pero el atacante solitario no estaba solo en espíritu. Sysdig observó tráfico de reconocimiento proveniente de más de 125 direcciones IP adicionales, con actividades que iban desde escaneos de puertos hasta sondeos HTTP, lo que sugiere un interés más amplio en la vulnerabilidad recién revelada. La rápida transición de la divulgación a la explotación subraya la velocidad con la que actores motivados pueden convertir en armas incluso las vulnerabilidades más recientes, especialmente cuando los controles de autenticación faltan o están mal configurados.

La vulnerabilidad afecta a todas las versiones de Marimo hasta la 0.20.4. Los mantenedores del proyecto han publicado desde entonces una versión corregida (0.23.0+), instando a los usuarios a actualizar de inmediato para evitar ser víctimas de ataques similares. El incidente es un recordatorio contundente de que, en el ecosistema de código abierto, la divulgación pública es un arma de doble filo: la transparencia acelera las correcciones, pero también da a los ciberdelincuentes un reloj en cuenta regresiva para atacar primero.

Reflexiones: el costo de la velocidad en la seguridad

Este episodio de Marimo expone el margen extremadamente estrecho entre la divulgación responsable y el riesgo real. Mientras desarrolladores y defensores corren para aplicar parches, los atacantes son igual de rápidos para lanzarse. La lección: incluso las mejores herramientas son tan seguras como sus endpoints más débiles y menos revisados - y en la era de la información instantánea, cada hora cuenta.

WIKICROOK

Marimo Remote Code Execution Cybersecurity
KERNELWATCHER KERNELWATCHER
Linux Kernel Security Analyst
← Back to news