Fri, 10 Apr 2026
← VoltarUma vulnerabilidade crítica de execução remota de código no Marimo foi explorada 10 horas após a divulgação. O problema afeta versões até 0.20.4 e foi corrigido na versão 0.23.0.
Uma vulnerabilidade crítica de segurança no Marimo, um notebook Python de código aberto para ciência e análise de dados, foi explorada 10 horas após a divulgação pública, de acordo com descobertas da Sysdig. A vulnerabilidade em questão é CVE-2026-39987 (pontuação CVSS: 9.3), uma vulnerabilidade de execução remota de código pré-autenticada que afeta todas as versões do Marimo anteriores e incluindo 0.20.4. O problema foi resolvido na versão 0.23.0. “O terminal WebSocket /terminal/ws não possui validação de autenticação, permitindo que um invasor não autenticado obtenha um shell PTY completo e execute comandos arbitrários do sistema”, disseram os mantenedores do Marimo em um comunicado no início desta semana.
"Ao contrário de outros endpoints WebSocket (por exemplo, /ws) que chamam corretamente valid_auth() para autenticação, o endpoint /terminal/ws apenas verifica o modo de execução e o suporte da plataforma antes de aceitar conexões, ignorando completamente a verificação de autenticação." Em outras palavras, os invasores podem obter um shell interativo completo em qualquer instância exposta do Marimo por meio de uma única conexão WebSocket sem exigir quaisquer credenciais. A Sysdig disse que observou a primeira tentativa de exploração visando a vulnerabilidade dentro de 9 horas e 41 minutos após sua divulgação pública, com uma operação de roubo de credenciais executada em minutos, apesar de não haver nenhum código de prova de conceito (PoC) disponível no momento. Diz-se que o ator de ameaça desconhecido por trás da atividade se conectou ao endpoint /terminal/ws WebSocket em um sistema honeypot e iniciou o reconhecimento manual para explorar o sistema de arquivos e, minutos depois, tentou sistematicamente coletar dados do arquivo .env, bem como procurar por chaves SSH e ler vários arquivos. O invasor retornou ao honeypot uma hora depois para acessar o conteúdo do arquivo .env e verificar se outros atores da ameaça estavam ativos durante o intervalo de tempo.
Nenhuma outra carga útil, como mineradores de criptomoedas ou backdoors, foi instalada. “O invasor construiu uma exploração funcional diretamente a partir da descrição do aviso, conectou-se ao terminal não autenticado e começou a explorar manualmente o ambiente comprometido”, disse a empresa de segurança em nuvem. “O invasor se conectou quatro vezes ao longo de 90 minutos, com pausas entre as sessões. Isso é consistente com um operador humano trabalhando em uma lista de alvos, retornando para confirmar as descobertas”.
A velocidade com que as falhas recentemente divulgadas estão sendo transformadas em armas indica que os atores das ameaças estão de olho nas divulgações de vulnerabilidades e explorando-as rapidamente durante o período entre a divulgação e a adoção do patch. Isso, por sua vez, reduziu o tempo que os defensores devem responder quando uma vulnerabilidade é anunciada publicamente. “A suposição de que os invasores visam apenas plataformas amplamente implantadas está errada. Qualquer aplicativo voltado para a Internet com um aviso crítico é um alvo, independentemente de sua popularidade”.