Falha crítica em plataforma Python permite invasão remota sem credenciais

Uma vulnerabilidade crítica identificada como CVE-2026-39987 foi descoberta no Marimo, uma plataforma de notebooks Python amplamente utilizada em projetos de ciência de dados e inteligência artificial. A falha, que recebeu a nota gravíssima de 9,3 no sistema CVSS, permite que cibercriminosos acessem e controlem servidores remotos sem a necessidade de qualquer senha. O problema estava na falta de autenticação no canal de comunicação em tempo real (WebSocket) usado pelo terminal integrado da ferramenta.

A gravidade da situação se intensificou quando ataques reais foram registrados menos de dez horas após a divulgação pública do problema, em abril de 2026. Invasores aproveitaram a brecha para roubar credenciais de nuvem e bancos de dados em menos de três minutos, além de instalarem uma variante do backdoor NKAbuse, que utiliza tecnologia blockchain para esconder suas ações. Diante do perigo iminente, a CISA (Agência de Segurança Cibernética dos EUA) incluiu a falha em seu catálogo de vulnerabilidades exploradas ativamente.

Para mitigar o risco, os desenvolvedores do Marimo lançaram a versão 0.23.0, que corrige o erro ao exigir autenticação em todas as conexões do terminal. Especialistas recomendam a atualização imediata do software por meio do comando pip install –upgrade “marimo>=0.23.0”.