simpleeval
Corregido en
1.0.6
1.0.5
SimpleEval es una biblioteca para Python que permite añadir expresiones evaluables a proyectos. Las versiones 1.0.0 hasta 1.0.4 presentan una vulnerabilidad que permite a atacantes acceder a objetos peligrosos, incluyendo módulos, dentro del entorno de sandbox. Esto puede resultar en la ejecución de código arbitrario o la exposición de información sensible. La versión 1.0.5 ha solucionado este problema.
Esta vulnerabilidad permite a un atacante inyectar código malicioso dentro del sandbox de SimpleEval. Al pasar objetos con atributos peligrosos (como módulos del sistema operativo) a la biblioteca, un atacante puede obtener acceso directo a estos recursos, eludiendo las restricciones de seguridad. Esto podría permitir la ejecución de comandos arbitrarios en el sistema, el acceso a datos confidenciales o incluso el control completo de la aplicación. Un escenario de ataque podría implicar la inyección de un módulo que permite la lectura de archivos del sistema, lo que llevaría a la exfiltración de información sensible. La falta de aislamiento adecuado dentro del sandbox es la raíz del problema, similar a vulnerabilidades de deserialización insegura.
El CVE-2026-32640 fue publicado el 13 de marzo de 2026. No se ha reportado su inclusión en el KEV de CISA al momento de la publicación. No se conocen públicamente pruebas de concepto (PoCs) activas, pero la naturaleza de la vulnerabilidad la hace susceptible a explotación. La probabilidad de explotación se considera media, dado que SimpleEval se utiliza en una variedad de aplicaciones Python.
Applications that utilize SimpleEval to evaluate user-provided expressions, particularly those deployed in environments where user input is not thoroughly validated, are at significant risk. This includes applications that dynamically generate code or configurations based on user input, as well as those that use SimpleEval for sandboxed scripting or evaluation of untrusted data.
• python / library:
import simpleeval
import inspect
# Check for vulnerable versions
import pkg_resources
version = pkg_resources.get_distribution('simpleeval').version
if version in ['1.0.0', '1.0.1', '1.0.2', '1.0.3', '1.0.4']:
print("Vulnerable SimpleEval version detected!")
# Inspect objects passed to SimpleEval for potentially dangerous attributes
# This is a simplified example and requires more robust analysis• generic web: Review application code that utilizes SimpleEval to identify potential injection points where malicious objects could be passed to the library.
disclosure
Estado del Exploit
EPSS
0.13% (32% percentil)
CISA SSVC
La mitigación principal es actualizar SimpleEval a la versión 1.0.5 o superior. Si la actualización no es inmediatamente posible, se recomienda limitar estrictamente los objetos que se pasan a SimpleEval, evitando cualquier objeto que pueda contener módulos o funciones peligrosas. Implementar una validación exhaustiva de los datos de entrada es crucial. Si se utiliza un firewall de aplicaciones web (WAF), configurar reglas para bloquear el acceso a funciones o módulos potencialmente peligrosos dentro del contexto de SimpleEval. Monitorear los logs de la aplicación en busca de patrones de acceso inusuales a módulos del sistema podría indicar un intento de explotación.
Actualice la biblioteca SimpleEval a la versión 1.0.5 o superior para mitigar la vulnerabilidad. Esta versión corrige el problema al evitar que objetos peligrosos se filtren dentro del sandbox, previniendo el acceso no autorizado a funciones y módulos.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-32640 is a high-severity vulnerability in SimpleEval versions 1.0.0 through 1.0.4 that allows attackers to leak dangerous modules and functions within the sandbox, potentially leading to code execution.
You are affected if you are using SimpleEval versions 1.0.0, 1.0.1, 1.0.2, 1.0.3, or 1.0.4 in your Python applications.
Upgrade SimpleEval to version 1.0.5 or later to remediate the vulnerability. If upgrading is not immediately possible, implement strict input validation and sanitization.
As of now, there are no publicly available proof-of-concept exploits or confirmed reports of active exploitation, but it's crucial to apply the fix proactively.
Refer to the SimpleEval project's official repository or documentation for the latest security advisories and updates related to CVE-2026-32640.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.