simpleeval
Corrigido em
1.0.6
1.0.5
A vulnerabilidade CVE-2026-32640 afeta a biblioteca SimpleEval para Python, utilizada para adicionar expressões avaliáveis em projetos. Versões anteriores a 1.0.5 apresentam um problema de 'sandbox leaky', onde objetos podem vazar módulos perigosos, permitindo acesso direto dentro do ambiente isolado. A correção foi implementada na versão 1.0.5, e a atualização é altamente recomendada.
Um atacante pode explorar essa vulnerabilidade para injetar módulos ou funções perigosas dentro do sandbox do SimpleEval. Isso pode levar à execução de código arbitrário no sistema, permitindo o acesso não autorizado a dados sensíveis, a modificação de arquivos e, potencialmente, o controle completo do sistema. A gravidade da vulnerabilidade reside na capacidade de contornar as proteções do sandbox, que deveriam impedir a execução de código malicioso. A exploração bem-sucedida depende da capacidade do atacante de manipular os objetos passados para a função de avaliação, inserindo componentes maliciosos que podem ser executados dentro do contexto do sandbox.
A vulnerabilidade foi divulgada em 2026-03-13. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A existência de um sandbox leaky é um padrão de vulnerabilidade conhecido, e a ausência de um patch pode tornar o sistema um alvo atraente para atacantes.
Applications that utilize SimpleEval to evaluate user-provided expressions, particularly those deployed in environments where user input is not thoroughly validated, are at significant risk. This includes applications that dynamically generate code or configurations based on user input, as well as those that use SimpleEval for sandboxed scripting or evaluation of untrusted data.
• python / library:
import simpleeval
import inspect
# Check for vulnerable versions
import pkg_resources
version = pkg_resources.get_distribution('simpleeval').version
if version in ['1.0.0', '1.0.1', '1.0.2', '1.0.3', '1.0.4']:
print("Vulnerable SimpleEval version detected!")
# Inspect objects passed to SimpleEval for potentially dangerous attributes
# This is a simplified example and requires more robust analysis• generic web: Review application code that utilizes SimpleEval to identify potential injection points where malicious objects could be passed to the library.
disclosure
Status do Exploit
EPSS
0.13% (percentil 32%)
CISA SSVC
A mitigação primária para CVE-2026-32640 é a atualização imediata para a versão 1.0.5 do SimpleEval. Caso a atualização cause problemas de compatibilidade, considere a implementação de um WAF (Web Application Firewall) para filtrar entradas suspeitas e bloquear a execução de código potencialmente malicioso. Além disso, revise o código da sua aplicação para garantir que os objetos passados para SimpleEval sejam devidamente validados e sanitizados, evitando a inclusão de módulos ou funções não confiáveis. A implementação de um sistema de monitoramento e alertas pode ajudar a detectar tentativas de exploração.
Atualize a biblioteca SimpleEval para a versão 1.0.5 ou superior para mitigar a vulnerabilidade. Esta versão corrige o problema ao evitar que objetos perigosos sejam filtrados dentro do sandbox, prevenindo o acesso não autorizado a funções e módulos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-32640 is a high-severity vulnerability in SimpleEval versions 1.0.0 through 1.0.4 that allows attackers to leak dangerous modules and functions within the sandbox, potentially leading to code execution.
You are affected if you are using SimpleEval versions 1.0.0, 1.0.1, 1.0.2, 1.0.3, or 1.0.4 in your Python applications.
Upgrade SimpleEval to version 1.0.5 or later to remediate the vulnerability. If upgrading is not immediately possible, implement strict input validation and sanitization.
As of now, there are no publicly available proof-of-concept exploits or confirmed reports of active exploitation, but it's crucial to apply the fix proactively.
Refer to the SimpleEval project's official repository or documentation for the latest security advisories and updates related to CVE-2026-32640.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.