SimpleEval是一个用于在Python项目中添加可评估表达式的库。在1.0.5版本之前,对象(包括模块)可能通过沙箱直接访问危险模块。如果传递给SimpleEval的对象具有可用的模块或其他不允许/危险对象的属性,则可能发生此问题。1.0.5版本修复了此漏洞,建议尽快升级。
此漏洞允许攻击者绕过SimpleEval的沙箱机制,直接访问Python环境中的危险模块。攻击者可以利用这些模块执行恶意代码,例如读取敏感数据、修改系统配置或执行远程代码。由于SimpleEval常用于安全上下文,例如评估用户提供的表达式,因此该漏洞的潜在影响非常严重。攻击者可以利用此漏洞获取对受保护系统的完全控制权,造成严重的安全风险。类似的安全漏洞可能导致数据泄露和系统被破坏。
该漏洞已公开披露,且CVSS评分为高危。目前尚未发现公开的PoC,但由于漏洞的严重性和潜在影响,存在被利用的风险。CISA尚未将其添加到KEV目录,但建议密切关注相关安全动态。
Applications that utilize SimpleEval to evaluate user-provided expressions, particularly those deployed in environments where user input is not thoroughly validated, are at significant risk. This includes applications that dynamically generate code or configurations based on user input, as well as those that use SimpleEval for sandboxed scripting or evaluation of untrusted data.
• python / library:
import simpleeval
import inspect
# Check for vulnerable versions
import pkg_resources
version = pkg_resources.get_distribution('simpleeval').version
if version in ['1.0.0', '1.0.1', '1.0.2', '1.0.3', '1.0.4']:
print("Vulnerable SimpleEval version detected!")
# Inspect objects passed to SimpleEval for potentially dangerous attributes
# This is a simplified example and requires more robust analysis• generic web: Review application code that utilizes SimpleEval to identify potential injection points where malicious objects could be passed to the library.
disclosure
漏洞利用状态
EPSS
0.13% (32% 百分位)
CISA SSVC
最有效的缓解措施是立即升级到SimpleEval 1.0.5或更高版本。如果无法立即升级,可以考虑限制SimpleEval沙箱中允许访问的模块。可以通过修改SimpleEval的配置来禁止访问特定的模块或目录。此外,应仔细审查传递给SimpleEval的输入,确保其不包含任何恶意代码。如果无法升级,请考虑使用更严格的沙箱环境,例如使用更安全的Python解释器或限制SimpleEval的权限。
将 SimpleEval 库更新到 1.0.5 或更高版本以缓解漏洞。此版本通过防止危险对象过滤到沙箱中来修复此问题,从而防止未经授权的访问函数和模块。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-32640描述了SimpleEval库在1.0.0到1.0.5版本之间存在的模块泄露漏洞,攻击者可以通过此漏洞绕过沙箱,访问危险模块。
如果您正在使用SimpleEval 1.0.0到1.0.5版本,则可能受到此漏洞的影响。请立即检查您的SimpleEval版本并升级。
升级到SimpleEval 1.0.5或更高版本可以修复此漏洞。如果无法升级,请考虑限制沙箱中允许访问的模块。
目前尚未发现CVE-2026-32640正在被积极利用,但由于漏洞的严重性,存在被利用的风险。
请访问SimpleEval的官方GitHub仓库或相关安全公告网站获取更多信息。
上传你的 requirements.txt 文件,立即知道是否受影响。