Plataforma
python
Componente
pygments
Corregido en
2.19.1
2.19.2
2.19.3
2.19.3
2.20.0
Se ha identificado una vulnerabilidad de Denegación de Servicio (DoS) en Pygments, una biblioteca de resaltado de sintaxis para Python. Esta vulnerabilidad, presente en versiones anteriores a la 2.20.0, reside en la función AdlLexer del archivo pygments/lexers/archetype.py. Un atacante con acceso local puede explotar esta debilidad para causar una ralentización significativa del sistema.
La vulnerabilidad DoS en Pygments permite a un atacante con acceso local provocar una sobrecarga de recursos al manipular la función AdlLexer. Esto se logra mediante la creación de expresiones regulares ineficientes, lo que consume una cantidad excesiva de tiempo de CPU y memoria. El resultado es una degradación del rendimiento del sistema, pudiendo incluso llegar a una interrupción del servicio. Dado que requiere acceso local, el impacto se limita a sistemas donde un atacante ya tiene presencia física o acceso privilegiado.
Esta vulnerabilidad ha sido divulgada públicamente y un exploit está disponible. Aunque el CVSS score es LOW (3.3), la disponibilidad de un exploit público aumenta el riesgo de explotación. No se ha confirmado explotación activa en campañas conocidas, pero la facilidad de explotación sugiere que podría ser utilizada en ataques dirigidos. La falta de respuesta por parte del proyecto Pygments es preocupante.
Systems utilizing Pygments versions 2.9.0 or earlier, particularly those with weak local access controls or where Pygments is integrated into critical applications, are at risk. Development environments and build servers that rely on Pygments are also potential targets.
• python / system: Monitor system resource usage (CPU, memory) for unusual spikes. Investigate any processes consuming excessive resources that are related to Pygments.
top -c
ps aux --sort=-%cpudisclosure
poc
Estado del Exploit
EPSS
0.01% (3% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar Pygments a la versión 2.20.0 o superior, donde se ha corregido el problema. Si la actualización no es inmediatamente posible, considere limitar el acceso local al sistema para evitar la explotación. En entornos donde Pygments se utiliza como parte de una aplicación web, implementar un firewall de aplicaciones web (WAF) con reglas para detectar y bloquear patrones de entrada maliciosos que puedan activar la vulnerabilidad. No existen firmas Sigma o YARA específicas disponibles en este momento, pero se recomienda monitorear el uso de CPU y memoria en procesos de Pygments.
Actualice la biblioteca pygments a una versión posterior a 2.19.2. Esto solucionará la vulnerabilidad de denegación de servicio causada por la complejidad ineficiente de la expresión regular en el lexer AdlLexer.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-4539 is a Denial of Service vulnerability in Pygments versions 2.9.0 and earlier, allowing attackers with local access to cause resource exhaustion through inefficient regular expression handling.
You are affected if you are using Pygments versions 2.9.0 or earlier. Upgrade to 2.20.0 or later to mitigate the risk.
Upgrade Pygments to version 2.20.0 or later. If immediate upgrade is not possible, restrict local access to systems running Pygments.
A public proof-of-concept exploit exists, suggesting a potential for active exploitation, although confirmed exploitation is not yet widespread.
Check the Pygments project's website and GitHub repository for updates and advisories related to CVE-2026-4539.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.