CVE-2026-39987

Nome do Software Vulnerável e Versões Afetadas Marimo versões anteriores a 0.23.0

Descrição O Marimo contém um problema de execução remota de código (RCE) pré-autenticação. O endpoint WebSocket do terminal '/terminal/ws' não realiza a validação de autenticação, ao contrário de outros endpoints como '/ws', que utilizam a função validate auth(). Isso permite que um invasor não autenticado estabeleça uma conexão, obtenha um shell PTY completo e execute comandos arbitrários do sistema com os privilégios do proprietário do notebook, frequentemente como root em implantações Docker padrão. Alguns relatos também indicam que requisições HTTP POST malformadas direcionadas a '/goform/' ou endpoints de estado reativo poderiam ser usadas para injetar comandos no mecanismo de execução reativa via escapes builtins para chamar os.system() ou subprocess.run().

Incidentes reais demonstraram a gravidade deste problema, incluindo o primeiro caso publicamente documentado de um agente de LLM conduzindo autonomamente uma cadeia completa de pós-exploração. Em um caso, um invasor usou a falha para coletar credenciais de nuvem, recuperar chaves SSH do AWS Secrets Manager e exfiltrar todo um banco de dados PostgreSQL em menos de uma hora. Outros ataques envolveram a implantação do backdoor Go NKAbuse e escapes de container via API do Docker para obter acesso root ao host.

Recomendações Atualize para a versão 0.23.0 ou posterior. Como solução temporária, restrinja o acesso de rede ao endpoint '/terminal/ws' ou desative completamente o recurso de terminal. Coloque todos os servidores de notebook atrás de uma VPN ou gateway de Acesso à Rede de Confiança Zero (ZTNA) e garanta que a porta padrão 8080 não esteja acessível a partir da internet pública. Ative as flags --token ou --password na inicialização e evite executar o software no modo Público sem uma camada de autenticação externa. Utilize namespaces do Linux ou containers Docker para isolar o processo da rede e do sistema de arquivos do host.