## Pygments 2.19.2 曝出 CVE-2026-4539 漏洞，暂无可用补丁
Python 代码语法高亮库 Pygments 的 2.19.2 版本被确认存在一个正则表达式拒绝服务漏洞，目前官方尚未发布修复版本。该漏洞被标记为 CVE-2026-4539，CVSS v3 评分为 3.3，属于低危级别。这意味着依赖此版本的项目面临潜在的服务中断风险，但攻击门槛和影响范围相对有限。

漏洞具体存在于 `pygments/lexers/archetype.py` 文件中的 `AdlLexer` 组件。攻击者可通过构造特定的恶意输入触发低效的正则表达式匹配，从而导致进程陷入长时间计算，消耗大量 CPU 资源，最终可能使相关服务无响应。虽然严重性评级不高，但对于任何在生产环境中使用 Pygments 进行代码高亮或解析的服务而言，这仍是一个需要监控的潜在攻击面。

目前，GitHub 安全公告和 NVD 均已收录此漏洞详情，但修复版本仍未发布。维护者建议用户密切关注官方仓库的更新。一旦补丁版本发布，用户可通过 `uv add --upgrade pygments` 命令进行升级。在补丁可用前，开发团队需评估自身服务对 `AdlLexer` 的依赖程度，并考虑实施输入验证或监控异常请求等缓解措施。
---
- **Source**: GitHub Issues
- **Sector**: The Lab
- **Tags**: CVE, 安全漏洞, Python, 开源软件, 供应链安全
- **Credibility**: unverified
- **Published**: 2026-03-27 13:27:24
- **ID**: 37726
- **URL**: https://whisperx.ai/en/intel/37726