Uma vulnerabilidade crítica foi descoberta na plataforma de notebooks reativos Marimo, permitindo a execução remota de código sem autenticação. A falha, identificada como CVE-2026-39987, afeta as versões 0.20.4 e anteriores e recebeu uma pontuação crítica de 9.3 de 10 pela GitHub. A exploração começou apenas 10 horas após a divulgação pública da falha, com atacantes utilizando informações do aviso do desenvolvedor para realizar operações de exfiltração de dados sensíveis. A vulnerabilidade se origina do endpoint WebSocket ‘/terminal/ws’, que expõe um terminal interativo sem as devidas verificações de autenticação, permitindo que qualquer cliente não autenticado se conecte e execute comandos. O Marimo é amplamente utilizado por cientistas de dados e desenvolvedores, com 20.000 estrelas no GitHub. Os desenvolvedores lançaram a versão 0.23.0 para corrigir a falha, recomendando que os usuários atualizem imediatamente e monitorem as conexões WebSocket. Caso a atualização não seja viável, a recomendação é bloquear o acesso ao endpoint vulnerável.
Fonte: https://www.bleepingcomputer.com/news/security/critical-marimo-pre-auth-rce-flaw-now-under-active-exploitation/
🚨BR DEFENSE CENTER: SECURITY BRIEFING
12/04/2026 • Risco: CRITICO
VULNERABILIDADE
Vulnerabilidade crítica no Marimo permite execução remota de código
RESUMO EXECUTIVO
A vulnerabilidade crítica no Marimo, que permite a execução remota de código, representa um risco significativo para organizações que utilizam essa plataforma. A rápida exploração observada destaca a necessidade urgente de atualização e monitoramento para evitar a exfiltração de dados sensíveis.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras devido à exfiltração de dados e danos à reputação.
Operacional
Exfiltração de dados sensíveis, incluindo credenciais e segredos de aplicação.
Setores vulneráveis
['Tecnologia da informação', 'Desenvolvimento de software', 'Ciência de dados']
📊 INDICADORES CHAVE
125 endereços IP iniciaram atividades de reconhecimento em 12 horas.
Indicador
Exploração foi observada em menos de 10 horas após a divulgação.
Contexto BR
Acesso a credenciais foi completado em menos de três minutos.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se a versão do Marimo em uso é a 0.23.0 ou superior.
2
Atualizar para a versão 0.23.0 imediatamente ou bloquear o acesso ao endpoint '/terminal/ws'.
3
Monitorar continuamente as conexões WebSocket e as tentativas de acesso ao sistema.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a possibilidade de exploração rápida e a exfiltração de dados sensíveis, que pode resultar em danos financeiros e de reputação.
⚖️ COMPLIANCE
Implicações legais relacionadas à LGPD e à proteção de dados sensíveis.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
