CVE-2026-54386
Moderat

CVE-2026-54386: XSS-sårbarhed i marimo forklaret

Sårbarhed i marimo giver angribere mulighed for at køre skadelig kode i din browser via et snydefuldt link.

CVSS Score
6.1
Offentliggjort
17/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdatér inden for 7 dage

Hvad er det?

CVE-2026-54386 er en såkaldt reflected cross-site scripting-sårbarhed (XSS) i det Python-baserede notebook-værktøj marimo (versioner før 0.23.9). XSS betyder, at en angriber kan få en webside til at udføre ondsindet JavaScript-kode i en besøgendes browser.

Fejlen opstår fordi marimo ikke håndterer særlige tegn (enkelt-anførselstegn) korrekt i en URL-parameter kaldet file. Angriberen laver et specialdesignet link, som narrer marimos server til at sende skadelig kode tilbage til den bruger, der klikker på linket — og koden kører uden de normale sikkerhedsbegrænsninger.

Hvem rammer det?

Sårbarheden rammer dig, hvis du eller dine medarbejdere kører marimo som notebook-server — typisk til dataanalyse eller Python-udvikling — og serveren er tilgængelig via et netværk. Angriberen behøver ingen konto eller adgangskode; det eneste krav er, at en bruger klikker på et ondsindet link. Det gælder uanset om serveren er eksponeret mod internettet eller blot internt på virksomhedens netværk.

Hvad kan ske?

Hvis en medarbejder klikker på et manipuleret link, kan angriberen:

  • Stjæle sessionscookies (adgangsnøgler til marimo-sessionen) og overtage brugerens session.
  • Udføre handlinger på vegne af brugeren i marimo — fx ændre, slette eller eksfiltrere notebooks og data.
  • Omdirigere brugeren til falske login-sider for at stjæle adgangskoder.
  • Sprede yderligere angreb internt i virksomhedens netværk via brugerens browser.

Det er vigtigt at understrege, at angrebet kræver, at en bruger aktivt klikker på et ondsindet link — det sker ikke automatisk.

Hvor alvorligt er det?

Sårbarheden er vurderet til CVSS 6.1 — Moderat. Det betyder, at den ikke er kritisk, men heller ikke ubetydelig. Angriberen behøver ingen forudgående adgang eller konto, og angrebet er teknisk enkelt at udføre. Den vigtigste begrænsning er, at en bruger skal klikke på et ondsindet link. Konsekvenserne er begrænset til den ramte brugers session og data — serveren eller operativsystemet kompromitteres ikke direkte.

Hvad gør jeg nu?

Følg disse trin for at beskytte din virksomhed:

  1. Opdatér marimo til version 0.23.9 eller nyere. Kør kommandoen pip install --upgrade marimo i dit Python-miljø. Dette er den vigtigste handling.
  2. Tjek hvilken version du kører. Kør marimo --version i terminalen. Er du på en version under 0.23.9, er du sårbar.
  3. Begræns adgang til marimo-serveren. Sørg for at serveren ikke er eksponeret mod internettet uden grund. Brug firewall eller VPN (krypteret netværksforbindelse) til at begrænse adgangen til betroede brugere.
  4. Informér dine medarbejdere. Gør dem opmærksomme på ikke at klikke på links til marimo-serveren fra ukendte afsendere eller mistænkelige e-mails.
  5. Gennemgå adgangslogge. Tjek om der har været usædvanlig aktivitet på marimo-serveren inden for den seneste periode.
Tidsfrist

Opdatér inden for 7 dage

Sådan ser Auroa det

Opdatér marimo til version 0.23.9 eller nyere så hurtigt som muligt — det løser problemet fuldstændigt. Sørg desuden for, at marimo-serveren ikke er åbent tilgængelig fra internettet uden adgangskontrol. Har du brug for hjælp til at vurdere, om din installation er sårbar, eller til at gennemføre opdateringen sikkert, er du velkommen til at kontakte os.

Tidslinje

17/06/2026
CVE offentliggjort
NVD offentliggør CVE-2026-54386 og beskriver XSS-sårbarheden i marimo-versioner før 0.23.9.
17/06/2026
Patch frigivet
Marimo version 0.23.9 udgives med en rettelse, der sikrer korrekt escaped enkelt-anførselstegn i file-parameteren.
17/06/2026
Proof-of-concept tilgængeligt
Teknisk dokumentation og udnyttelsesmetode er offentligt tilgængelig i forbindelse med CVE-offentliggørelsen, hvilket gør det enkelt for angribere at efterligne angrebet.
18/06/2026
Anbefaling: Opdatér nu
Sikkerhedseksperter anbefaler alle der kører marimo at opdatere øjeblikkeligt, da angrebet er teknisk enkelt og kræver minimal forberedelse fra angriberens side.

Konkrete eksempler

Det falske hjælpe-link

En angriber sender en e-mail til en dataanalytiker i virksomheden, der indeholder et link der ser ud til at pege på virksomhedens marimo-server — måske forklædt som et delt notebook-projekt. Når analytikeren klikker, kører skadelig JavaScript-kode i browseren og sender analytikerens session-cookie til angriberen, som herefter kan overtage sessionen og tilgå alle notebooks og data.

Phishing via intern chat

En angriber, der kender virksomhedens interne URL til marimo-serveren, poster et manipuleret link i en offentlig Slack-kanal eller Teams-besked. En kollega klikker på linket i god tro. JavaScripten kører og omdirigerer brugeren til en falsk loginside, hvor vedkommende afgiver sine adgangsoplysninger til angriberen.

Ondsindet QR-kode eller kort URL

En angriber skjuler det ondsindede marimo-link bag en URL-forkorter eller QR-kode og distribuerer det fx på et fagligt arrangement eller via sociale medier. En medarbejder scanner koden med sin telefon eller laptop, og angrebet udføres automatisk ved sideindlæsning — uden at brugeren aner, at noget er galt.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
REQUIRED
Scope
CHANGED
Confidentiality
LOW
Integrity
LOW
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

CWE-svaghedstyper

CWE-79

Original NVD-beskrivelse (engelsk)

marimo before 0.23.9 contains a reflected cross-site scripting vulnerability in the notebook page that allows unauthenticated attackers to inject arbitrary JavaScript by exploiting improper escaping of single quotes in the file query parameter reflected into an inline JavaScript string literal. Attackers can craft a malicious link with a payload beginning with __new__ to bypass the 404 check and inject JavaScript into the page, which executes without Content-Security-Policy restrictions in the origin of a victim’s marimo server.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Moderat
CVSS Base Score
6.1
Visning
Hurtige fakta
CVE-ID
CVE-2026-54386
Offentliggjort
17/06/2026
Sidst opdateret
17/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdatér inden for 7 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.