Marimo Pre-Auth RCE (CVE-2026-39987): 1 WebSocket là đủ mở root shell

Endpoint /terminal/ws của Marimo quên gọi validate_auth() — attacker chưa đăng nhập vẫn spawn được PTY shell. CVSS 9.3, exploit in-the-wild chỉ 9h41m sau disclosure. Nâng cấp 0.23.0 ngay.