Vulnerabilidade com nota 9,3 afeta plataforma usada em projetos de inteligência artificial e ciência de dados. Ataques começaram poucas horas após a divulgação da falha.

Uma vulnerabilidade crítica descoberta na plataforma Marimo, utilizada para desenvolvimento de projetos em Python, ciência de dados e inteligência artificial, acendeu um alerta entre pesquisadores de segurança digital. Identificada como CVE-2026-39987, a falha permite que criminosos invadam servidores remotamente sem precisar de login ou senha.

• Participe dos nossos canais no Twitter, Telegram ou Whatsapp!
• Confira nossos stories no Instagram e veja notícias como essa!
• Siga o tecflow no Spotify Podcast para ouvir nosso conteúdo!
• Anuncie conosco aqui ou apoie o tecflow clicando neste link!
• Assine nossa newsletter neste link ou no LinkedIn!
• Siga o tecflow no tik tok!

O problema afeta todas as versões do Marimo anteriores à 0.23.0 e já foi explorado por hackers em menos de dez horas após sua divulgação pública.

O que é o Marimo?

O Marimo é uma plataforma de notebooks Python que permite criar documentos interativos reunindo códigos, gráficos, textos e análises em uma única interface.

Muito utilizado por desenvolvedores, pesquisadores e equipes de inteligência artificial, o sistema funciona por meio de um servidor web, permitindo editar e executar códigos diretamente pelo navegador.

Em muitas empresas e universidades, esses servidores ficam acessíveis pela internet para facilitar o trabalho remoto e colaborativo.

Como a invasão acontece?

O ponto crítico da vulnerabilidade está em um terminal remoto baseado em WebSocket, tecnologia que mantém uma conexão contínua entre o navegador e o servidor.

Enquanto praticamente todos os demais recursos da plataforma exigiam autenticação, o terminal integrado aceitava conexões sem verificar qualquer credencial.

Na prática, bastava que um invasor enviasse uma solicitação para o endereço do terminal remoto para receber acesso direto à linha de comando do servidor.

Com isso, o atacante podia executar comandos, instalar programas maliciosos, acessar arquivos internos, copiar bancos de dados e roubar credenciais armazenadas na máquina.

Risco vai além dos notebooks Python

O maior problema é que servidores Marimo frequentemente armazenam informações extremamente sensíveis, como:

• Chaves de acesso a serviços em nuvem;
• Senhas de bancos de dados;
• Tokens de APIs;
• Variáveis de ambiente;
• Arquivos internos de projetos de inteligência artificial.

Caso o servidor seja comprometido, todas essas informações podem ser acessadas pelo invasor.

Ataques começaram em menos de 10 horas

Segundo pesquisadores de segurança, os primeiros ataques ocorreram apenas 9 horas e 41 minutos após a divulgação da vulnerabilidade.

Em um dos casos analisados, criminosos conseguiram roubar credenciais em menos de três minutos após obter acesso ao servidor.

Também foi identificada uma campanha que instala o malware NKAbuse, um backdoor que utiliza infraestrutura baseada em blockchain para dificultar sua detecção e bloqueio.

Falha recebeu classificação crítica

A vulnerabilidade recebeu nota 9,3 de 10 na escala internacional CVSS v4.0, utilizada para medir a gravidade de falhas de segurança.

O problema também foi incluído no catálogo de vulnerabilidades exploradas ativamente pela Cybersecurity and Infrastructure Security Agency (CISA), indicando que já existem ataques em andamento contra sistemas vulneráveis.

Como se proteger

Os desenvolvedores do Marimo já disponibilizaram uma correção na versão 0.23.0, que passa a exigir autenticação também no terminal remoto.

Especialistas recomendam que administradores atualizem imediatamente a plataforma e adotem outras medidas de segurança, como:

• Atualizar para a versão 0.23.0 ou superior;
• Evitar expor servidores Marimo diretamente à internet;
• Restringir o acesso apenas a redes confiáveis;
• Verificar logs em busca de atividades suspeitas;
• Tratar qualquer instalação desatualizada como potencialmente comprometida até que seja realizada uma análise completa.

Como a exploração da vulnerabilidade começou poucas horas após sua divulgação, especialistas alertam que sistemas ainda não atualizados podem já ter sido alvo de invasores.

Faça como os mais de 10.000 leitores do tecflow, clique no sino azul e tenha nossas notícias em primeira mão! Confira as melhores ofertas de celulares na loja parceira do tecflow.