CVE-2026-32640

この脆弱性は、攻撃者がSimpleEvalのサンドボックス内で意図的に危険なモジュールにアクセスすることを可能にします。これにより、システム上の機密情報（APIキー、パスワード、データベース接続情報など）が漏洩する可能性があります。さらに、攻撃者はサンドボックス内で悪意のあるコードを実行し、システムを完全に制御する可能性があります。特に、SimpleEvalを信頼できない入力に基づいて評価に使用している場合、攻撃のリスクは高まります。この脆弱性は、Python環境全体に影響を及ぼす可能性があり、広範囲な被害をもたらす可能性があります。

Applications that utilize SimpleEval to evaluate user-provided expressions, particularly those deployed in environments where user input is not thoroughly validated, are at significant risk. This includes applications that dynamically generate code or configurations based on user input, as well as those that use SimpleEval for sandboxed scripting or evaluation of untrusted data.

• python / library:

import simpleeval
import inspect
# Check for vulnerable versions
import pkg_resources
version = pkg_resources.get_distribution('simpleeval').version
if version in ['1.0.0', '1.0.1', '1.0.2', '1.0.3', '1.0.4']:
    print("Vulnerable SimpleEval version detected!")
    # Inspect objects passed to SimpleEval for potentially dangerous attributes
    # This is a simplified example and requires more robust analysis

• generic web: Review application code that utilizes SimpleEval to identify potential injection points where malicious objects could be passed to the library.

1. 2026-03-13Disclosure

   disclosure

1. 予約済み2026-03-12
2. 公開日2026-03-13
3. 更新日2026-04-21
4. EPSS 更新日2026-03-23

最も効果的な対策は、SimpleEvalをバージョン1.0.5にアップデートすることです。アップデートがすぐに利用できない場合は、SimpleEvalに渡すオブジェクトを厳密に検証し、危険なモジュールが含まれていないことを確認してください。WAF（Web Application Firewall）を導入し、SimpleEvalの評価プロセスを監視することで、悪意のあるコードの実行を防止できます。また、サンドボックスのアクセス制御を強化し、危険なモジュールへのアクセスを制限することも有効です。アップデート後、SimpleEvalの動作をテストし、脆弱性が修正されていることを確認してください。