Uma vulnerabilidade crítica foi descoberta no Grist-Core, versão open source e self-hosted do Grist, um spreadsheet relacional com banco de dados integrado.
A falha permite a execução remota de código (RCE).
Classificada como
CVE-2026-24002
, com pontuação CVSS de 9,1, essa vulnerabilidade recebeu o codinome Cellbreak e foi revelada pelo laboratório Cyera Research Labs.
Segundo Vladimir Tokarev, pesquisador responsável pela descoberta, “uma fórmula maliciosa é suficiente para transformar uma planilha em uma porta de entrada para execução remota de código.
Essa brecha na sandbox permite que o autor da fórmula execute comandos no sistema operacional ou JavaScript no runtime do host, eliminando a separação entre a lógica das células e a execução no ambiente anfitrião.”
Cellbreak é um caso de sandbox escape no ambiente Pyodide, vulnerabilidade semelhante à que afetou recentemente a plataforma n8n (
CVE-2025-68668
, CVSS 9,9, conhecida como N8scape).
A falha foi corrigida na versão 1.7.9 do Grist, lançada em 9 de janeiro de 2026.
De acordo com os mantenedores do projeto, “uma revisão de segurança identificou uma falha no método de sandbox ‘pyodide’ utilizado pelo Grist.
Você pode verificar se sua instância está vulnerável acessando a seção de sandbox no painel administrativo.
Se o sandbox exibido for ‘gvisor’, você está seguro; se aparecer ‘pyodide’, é fundamental atualizar para esta versão ou superior.”
O problema está no modo como o Grist executa fórmulas Python usando Pyodide — uma distribuição Python que roda código diretamente no navegador via WebAssembly (WASM), dentro de um ambiente isolado (sandbox).
A intenção é garantir a execução isolada de fórmulas não confiáveis, porém o método adotado, baseado em blocklist, mostrou-se insuficiente para impedir a fuga da sandbox e a execução de comandos no sistema host.
Tokarev detalha que “o design da sandbox permite navegar pela hierarquia de classes do Python e mantém o módulo ctypes disponível.
Essa combinação oferece acesso às funções do runtime Emscripten, que não deveriam ser acessíveis a partir de uma célula da planilha.” Isso possibilita executar comandos no host, rodar JavaScript no runtime local, acessar o sistema de arquivos e até expor dados sensíveis.
O Grist alerta que, se o parâmetro GRIST_SANDBOX_FLAVOR estiver configurado como Pyodide, a abertura de um documento malicioso pode ativar a execução arbitrária de processos no servidor que hospeda a aplicação.
Com esse controle, um invasor pode recuperar credenciais do banco de dados, chaves de API, ler arquivos confidenciais e abrir caminho para movimentação lateral na infraestrutura.
Para conter o problema, o Grist passou a executar fórmulas Pyodide no runtime Deno por padrão.
No entanto, o risco reaparece caso o operador defina explicitamente a variável GRIST_PYODIDE_SKIP_DENO como “1”.
Portanto, essa configuração não deve ser adotada em ambientes onde fórmulas de fontes não confiáveis possam ser executadas.
A recomendação é que os usuários atualizem o Grist para a versão mais recente o quanto antes.
Como medida temporária, pode-se alterar a variável de ambiente GRIST_SANDBOX_FLAVOR para “gvisor”, que oferece maior segurança.
“A situação reflete um risco sistêmico em plataformas de automação: uma superfície única de execução com privilégios elevados pode comprometer as barreiras de confiança organizacional quando a sandbox falha”, ressalta Tokarev.
“Quando a execução das fórmulas depende de sandboxes permissivas, uma única fuga transforma ‘lógica de dados’ em ‘execução no host’.
O caso do Grist-Core evidencia que sandboxes devem ser baseadas em capabilities e estratégias de defesa em profundidade, e não em blocklists frágeis.
O custo da falha vai além de um bug — é uma invasão ao plano de dados.”
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...