--- title: "Falha crítica em plataforma Python abre caminho para invasão remota sem senha" author: "Luan Andrade" published: 2026-06-21T22:53:04.183+00:00 updated: 2026-06-21T22:53:05.888906+00:00 section: "Apps & Produtividade" canonical: https://bitflowtech.com.br/artigo/falha-critica-em-plataforma-python-abre-caminho-para-invasao-remota-sem-senha source: BitFlow Tech license: "Citação permitida com atribuição e link para a URL canônica." --- # Falha crítica em plataforma Python abre caminho para invasão remota sem senha > Uma falha crítica no Marimo acendeu um alerta entre profissionais que trabalham com Python, ciência de dados e inteligência artificial. O problema permitia que uma pessoa sem qualquer credencial abrisse um terminal remoto e executasse comandos diretamente no servidor. **Autor:** Luan Andrade **Publicado:** 2026-06-21 **Seção:** Apps & Produtividade **Original:** https://bitflowtech.com.br/artigo/falha-critica-em-plataforma-python-abre-caminho-para-invasao-remota-sem-senha ![Falha crítica em plataforma Python abre caminho para invasão remota sem senha](https://qbgwyoweznyfgawghggl.supabase.co/storage/v1/object/public/media/cover-1782082232973.webp) --- A vulnerabilidade recebeu o código **CVE-2026-39987** e atingia versões anteriores à 0.23.0 do Marimo. O risco não ficou apenas no campo teórico: tentativas de exploração foram identificadas menos de dez horas após a divulgação pública da brecha. Na prática, um servidor exposto poderia entregar muito mais do que o acesso a um notebook. Arquivos de projetos, senhas, tokens de serviços em nuvem e credenciais de bancos de dados também poderiam parar nas mãos de criminosos. ## Por que a falha crítica no Marimo é tão perigosa? O Marimo é uma plataforma de notebooks reativos para Python. Ela permite reunir códigos, explicações, gráficos e resultados em um mesmo documento, facilitando trabalhos de análise de dados e desenvolvimento de aplicações. Para oferecer recursos interativos, a ferramenta mantém uma comunicação constante entre o navegador e o servidor. Parte dessa comunicação ocorre por meio de WebSockets, canais que permanecem abertos para permitir a troca de informações em tempo real. O problema estava no endpoint usado pelo terminal integrado, identificado como /terminal/ws. Enquanto outros pontos da plataforma verificavam a autenticação do usuário, esse canal aceitava a conexão sem realizar a mesma validação. Com isso, alguém que conseguisse alcançar um servidor vulnerável poderia receber uma sessão completa de terminal. Os comandos seriam executados com as mesmas permissões do processo responsável pelo Marimo. Dependendo da configuração da máquina, esse acesso poderia permitir: - Visualizar, alterar ou apagar arquivos armazenados no servidor; - Capturar chaves, tokens e variáveis de ambiente; - Instalar programas maliciosos; - Usar credenciais encontradas para alcançar outros serviços; - Interromper aplicações e rotinas de trabalho. A falha recebeu pontuação **9,3 de 10 no CVSS 4.0**, classificação considerada crítica. ## Como os criminosos exploraram o servidor O ataque não dependia de phishing, senha vazada ou interação de um usuário. Bastava que o terminal WebSocket vulnerável estivesse acessível pela rede. Após estabelecer a conexão, o invasor poderia obter um terminal interativo e começar a explorar o sistema. Isso transformava uma simples falha de autenticação em uma vulnerabilidade de execução remota de comandos. Pesquisadores da Sysdig observaram a primeira tentativa de exploração apenas **9 horas e 41 minutos** depois da publicação do alerta de segurança, em 8 de abril de 2026. Nos dias seguintes, foram registrados ataques vindos de diferentes países, incluindo tentativas de roubo de credenciais, movimentação para bancos PostgreSQL e Redis e instalação de malware. Uma das campanhas instalava uma variante até então não documentada do **NKAbuse**, backdoor desenvolvido em Go que utiliza a rede blockchain NKN para sua infraestrutura de comando e controle. Esse tipo de comunicação pode dificultar o bloqueio do tráfego malicioso, já que os criminosos não dependem apenas de um servidor central tradicional. Segundo os pesquisadores, o arquivo malicioso chegou a ser distribuído por meio de um espaço com nome enganoso na plataforma Hugging Face. A velocidade da campanha chamou atenção. Ela mostrou que, atualmente, servidores expostos podem ser encontrados e atacados poucas horas depois da publicação de uma vulnerabilidade. ## Quais versões do Marimo estão vulneráveis? O alerta oficial do GitHub informa que versões do Marimo anteriores à **0.23.0** são afetadas. A versão 0.23.0 corrigiu o problema ao adicionar a verificação de autenticação ao endpoint do terminal. A CISA, agência de segurança cibernética dos Estados Unidos, adicionou a CVE-2026-39987 ao catálogo de vulnerabilidades conhecidas e exploradas em 23 de abril de 2026. A inclusão ocorre quando existem evidências de uso da falha em ataques reais. Quem administra um ambiente com Marimo deve confirmar a versão instalada. A atualização pode ser feita pelo gerenciador de pacotes do Python: pip install --upgrade "marimo>=0.23.0"Depois da instalação, é importante conferir se o serviço realmente foi reiniciado usando a versão corrigida. Atualizar o pacote sem reiniciar um processo antigo pode fazer com que a aplicação vulnerável continue ativa na memória. Também vale observar uma pequena diferença encontrada nas fontes: o primeiro aviso técnico mencionava versões até a 0.20.4, mas o registro revisado do GitHub passou a classificar todas as versões anteriores à 0.23.0 como afetadas. Por segurança, qualquer instalação abaixo da 0.23.0 deve ser atualizada. ## O que fazer para proteger uma instalação do Marimo A primeira medida é atualizar imediatamente para a versão 0.23.0 ou posterior. Porém, quando um servidor vulnerável permaneceu acessível pela internet, apenas instalar a correção pode não ser suficiente. É necessário investigar se alguém entrou no ambiente antes da atualização. Uma revisão deve procurar conexões incomuns, comandos inesperados, novos usuários, processos desconhecidos e alterações em arquivos importantes. Alguns cuidados ajudam a reduzir o risco: - Não expor o modo de edição do Marimo diretamente à internet; - Restringir o acesso com firewall, VPN ou rede privada; - Executar o serviço com o menor nível de privilégio possível; - Trocar credenciais que estavam armazenadas no servidor; - Revisar tokens de nuvem, bancos de dados e serviços externos; - Manter registros de acesso e alertas de atividades suspeitas. Caso haja indícios de invasão, tokens e senhas devem ser revogados, e não apenas alterados dentro do próprio servidor. Afinal, o criminoso pode ter copiado essas informações antes da correção. Ambientes executados em contêineres também exigem atenção. Se o processo do Marimo tinha permissões elevadas ou acesso a diretórios sensíveis da máquina hospedeira, o impacto pode ultrapassar os limites do contêiner. ## Uma falha pequena no código, um risco enorme no servidor A CVE-2026-39987 nasceu da ausência de uma verificação de autenticação em um único canal da plataforma. Parece um detalhe, mas foi o bastante para entregar um terminal completo a usuários não autorizados. O episódio reforça um cuidado que às vezes passa despercebido: ferramentas usadas em desenvolvimento também precisam ser tratadas como serviços sensíveis. Quando ficam expostas à internet, elas se tornam alvos tão valiosos quanto painéis administrativos e bancos de dados. O texto enviado como referência ajudou a modelar a progressão da explicação, partindo do impacto geral para o funcionamento técnico e, depois, para as orientações de proteção, sem reprodução de seu conteúdo. Quem mantém o Marimo instalado deve verificar a versão ainda hoje, limitar o acesso externo e investigar qualquer servidor que tenha permanecido vulnerável. Nesse caso, agir rápido pode ser a diferença entre uma atualização simples e um comprometimento completo do ambiente. --- _© 2026 BitFlow Tech. Conteúdo original — citação permitida com atribuição e link para https://bitflowtech.com.br/artigo/falha-critica-em-plataforma-python-abre-caminho-para-invasao-remota-sem-senha._