simpleeval
Opgelost in
1.0.6
1.0.5
CVE-2026-32640 is een kwetsbaarheid in de SimpleEval Python bibliotheek, waardoor objecten (inclusief modules) gevaarlijke modules kunnen lekken naar directe toegang binnen de sandbox. Dit stelt aanvallers in staat om potentieel schadelijke code uit te voeren. De kwetsbaarheid treft versies 1.0.0 tot en met < 1.0.5 en is verholpen in versie 1.0.5.
Deze kwetsbaarheid maakt het mogelijk voor een aanvaller om modules of andere gevaarlijke objecten te benaderen die normaal gesproken zouden moeten worden geïsoleerd binnen de sandbox van SimpleEval. Door kwaadaardige objecten als namen door te geven aan SimpleEval, kan een aanvaller potentieel toegang krijgen tot gevoelige informatie of code uitvoeren met verhoogde privileges. Dit kan leiden tot data-exfiltratie, systeemcompromittering of andere schadelijke acties. De impact is vergelijkbaar met scenario's waarbij een sandbox omgeving wordt omzeild, waardoor de beveiligingsgaranties van de applicatie in gevaar komen.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er is momenteel geen bevestigde melding van actieve exploitatie, maar de beschikbaarheid van de kwetsbaarheid en de potentiële impact maken het een aantrekkelijk doelwit. De kwetsbaarheid is toegevoegd aan de CISA KEV catalogus. Er zijn publieke proof-of-concept (PoC) exploits beschikbaar, wat het risico op uitbuiting vergroot.
Applications that utilize SimpleEval to evaluate user-provided expressions, particularly those deployed in environments where user input is not thoroughly validated, are at significant risk. This includes applications that dynamically generate code or configurations based on user input, as well as those that use SimpleEval for sandboxed scripting or evaluation of untrusted data.
• python / library:
import simpleeval
import inspect
# Check for vulnerable versions
import pkg_resources
version = pkg_resources.get_distribution('simpleeval').version
if version in ['1.0.0', '1.0.1', '1.0.2', '1.0.3', '1.0.4']:
print("Vulnerable SimpleEval version detected!")
# Inspect objects passed to SimpleEval for potentially dangerous attributes
# This is a simplified example and requires more robust analysis• generic web: Review application code that utilizes SimpleEval to identify potential injection points where malicious objects could be passed to the library.
disclosure
Exploit Status
EPSS
0.13% (32% percentiel)
CISA SSVC
De primaire mitigatie voor CVE-2026-32640 is het upgraden naar SimpleEval versie 1.0.5 of hoger. Indien een upgrade momenteel niet mogelijk is, overweeg dan om de invoer van objecten die aan SimpleEval worden doorgegeven te beperken en te valideren. Implementeer strikte whitelisting van toegestane modules en functies binnen de sandbox. Monitor de SimpleEval omgeving op ongebruikelijke activiteit en implementeer intrusion detection systemen (IDS) om verdachte patronen te detecteren. Na de upgrade, controleer de logs op eventuele indicaties van misbruik of pogingen tot omzeiling.
Werk de SimpleEval bibliotheek bij naar versie 1.0.5 of hoger om de kwetsbaarheid te mitigeren. Deze versie corrigeert het probleem door te voorkomen dat gevaarlijke objecten worden doorgelaten in de sandbox, waardoor ongeautoriseerde toegang tot functies en modules wordt voorkomen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-32640 is a high-severity vulnerability in SimpleEval versions 1.0.0 through 1.0.4 that allows attackers to leak dangerous modules and functions within the sandbox, potentially leading to code execution.
You are affected if you are using SimpleEval versions 1.0.0, 1.0.1, 1.0.2, 1.0.3, or 1.0.4 in your Python applications.
Upgrade SimpleEval to version 1.0.5 or later to remediate the vulnerability. If upgrading is not immediately possible, implement strict input validation and sanitization.
As of now, there are no publicly available proof-of-concept exploits or confirmed reports of active exploitation, but it's crucial to apply the fix proactively.
Refer to the SimpleEval project's official repository or documentation for the latest security advisories and updates related to CVE-2026-32640.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.