simpleeval
Corrigé dans
1.0.6
1.0.5
La vulnérabilité CVE-2026-32640 affecte la bibliothèque SimpleEval pour Python, utilisée pour intégrer des expressions évaluables dans des projets. Avant la version 1.0.5, cette bibliothèque permettait la fuite d'objets, y compris des modules, vers l'environnement sandbox, offrant un accès direct à des éléments potentiellement dangereux. Cette faille peut entraîner une divulgation d'informations sensibles et une exécution de code arbitraire. La version 1.0.5 corrige ce problème.
Cette vulnérabilité permet à un attaquant d'exploiter l'environnement sandbox de SimpleEval pour accéder à des modules et fonctions normalement restreints. En injectant des objets malveillants ou en utilisant des callbacks dangereux, l'attaquant peut potentiellement exécuter du code arbitraire sur le système hôte. La portée de l'impact dépend du contexte d'utilisation de SimpleEval et des privilèges de l'utilisateur exécutant le code vulnérable. Une exploitation réussie pourrait permettre le vol de données sensibles, la modification de fichiers système, ou même le contrôle total du système. Bien qu'il n'y ait pas de cas d'exploitation publique connus, la nature de la vulnérabilité la rend particulièrement préoccupante.
La vulnérabilité CVE-2026-32640 a été publiée le 13 mars 2026. Aucun exploit public n'est actuellement connu, mais la nature de la vulnérabilité et sa facilité d'exploitation potentielle la rendent préoccupante. Elle n'a pas encore été ajoutée au catalogue KEV de CISA. La probabilité d'exploitation est considérée comme moyenne en raison de la nécessité d'une manipulation précise de l'environnement sandbox.
Applications that utilize SimpleEval to evaluate user-provided expressions, particularly those deployed in environments where user input is not thoroughly validated, are at significant risk. This includes applications that dynamically generate code or configurations based on user input, as well as those that use SimpleEval for sandboxed scripting or evaluation of untrusted data.
• python / library:
import simpleeval
import inspect
# Check for vulnerable versions
import pkg_resources
version = pkg_resources.get_distribution('simpleeval').version
if version in ['1.0.0', '1.0.1', '1.0.2', '1.0.3', '1.0.4']:
print("Vulnerable SimpleEval version detected!")
# Inspect objects passed to SimpleEval for potentially dangerous attributes
# This is a simplified example and requires more robust analysis• generic web: Review application code that utilizes SimpleEval to identify potential injection points where malicious objects could be passed to the library.
disclosure
Statut de l'Exploit
EPSS
0.13% (percentile 32%)
CISA SSVC
La mitigation principale consiste à mettre à jour SimpleEval vers la version 1.0.5 ou supérieure, qui corrige la vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de désactiver temporairement l'utilisation de SimpleEval ou de restreindre l'accès aux objets passés à la bibliothèque. Une analyse rigoureuse des entrées et des objets utilisés dans SimpleEval peut aider à identifier et à bloquer les tentatives d'exploitation. Il n'existe pas de règles WAF spécifiques pour cette vulnérabilité, mais une surveillance accrue des activités suspectes dans l'environnement sandbox est recommandée.
Mettez à jour la bibliothèque SimpleEval à la version 1.0.5 ou supérieure pour atténuer la vulnérabilité. Cette version corrige le problème en empêchant les objets dangereux de se filtrer dans le sandbox, empêchant ainsi l'accès non autorisé aux fonctions et modules.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-32640 is a high-severity vulnerability in SimpleEval versions 1.0.0 through 1.0.4 that allows attackers to leak dangerous modules and functions within the sandbox, potentially leading to code execution.
You are affected if you are using SimpleEval versions 1.0.0, 1.0.1, 1.0.2, 1.0.3, or 1.0.4 in your Python applications.
Upgrade SimpleEval to version 1.0.5 or later to remediate the vulnerability. If upgrading is not immediately possible, implement strict input validation and sanitization.
As of now, there are no publicly available proof-of-concept exploits or confirmed reports of active exploitation, but it's crucial to apply the fix proactively.
Refer to the SimpleEval project's official repository or documentation for the latest security advisories and updates related to CVE-2026-32640.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.