pygments pygments 不可达退出条件的循环（无限循环）

CVE编号

CVE-2021-20270

利用情况

EXP 已公开

补丁情况

官方补丁

披露时间

2021-03-24

漏洞描述

Pygments是一种通用语法高亮显示工具，适用于代码托管、论坛、维基或其他需要美化源代码的应用程序。
Pygments 1.5到2.7.3版本存在拒绝服务漏洞。漏洞产生的原因是Pygments中的SMLLexer中的无限循环。攻击者可以利用此漏洞导致在执行标准ML（SML）源文件的语法突出显示时拒绝服务。

解决建议

厂商未提供漏洞修复方案，请关注厂商主页更新：
https://pygments.org/docs/

参考链接
https://bugzilla.redhat.com/show_bug.cgi?id=1922136
https://lists.debian.org/debian-lts-announce/2021/05/msg00003.html
https://lists.debian.org/debian-lts-announce/2021/05/msg00006.html
https://www.debian.org/security/2021/dsa-4889
https://www.oracle.com/security-alerts/cpuoct2021.html

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	pygments	pygments	*	From (including) 1.5	Up to (including) 2.7.3
	运行在以下环境
	应用	redhat	openshift_container_platform	3.11	-
	运行在以下环境
	应用	redhat	openshift_container_platform	4.0	-
	运行在以下环境
	应用	redhat	openstack_platform	10.0	-
	运行在以下环境
	应用	redhat	software_collections	-	-
	运行在以下环境
	系统	alpine_3.14	pygments	*		Up to (excluding) 2.7.4-r0
	运行在以下环境
	系统	alpine_3.15	pygments	*		Up to (excluding) 2.7.4-r0
	运行在以下环境
	系统	alpine_edge	pygments	*		Up to (excluding) 2.7.4-r0
	运行在以下环境
	系统	debian_10	pygments	*		Up to (excluding) 1:1.31.14-1~deb10u1
	运行在以下环境
	系统	debian_11	pygments	*		Up to (excluding) 2.7.1+dfsg-1
	运行在以下环境
	系统	debian_9	pygments	*		Up to (excluding) 1:1.27.7-1~deb9u8
	运行在以下环境
	系统	debian_sid	pygments	*		Up to (excluding) 2.7.1+dfsg-1
	运行在以下环境
	系统	opensuse_Leap_15.2	pygments	*		Up to (excluding) 2.6.1-lp152.5.9.1
	运行在以下环境
	系统	oracle_8	pygments	*		Up to (excluding) 4.1.1-98.el8
	运行在以下环境
	系统	ubuntu_16.04	pygments	*		Up to (excluding) 2.1+dfsg-1ubuntu0.1
	运行在以下环境
	系统	ubuntu_18.04	pygments	*		Up to (excluding) 2.2.0+dfsg-1ubuntu0.1
	运行在以下环境
	系统	ubuntu_20.04	pygments	*		Up to (excluding) 2.3.1+dfsg-1ubuntu2.1
	运行在以下环境
	系统	ubuntu_21.04	pygments	*		Up to (excluding) 2.7.1+dfsg-2
查看完整数据

阿里云评分 4.3

• 攻击路径 远程
• 攻击复杂度 容易
• 权限要求 普通权限
• 影响范围 有限影响
• EXP成熟度 EXP 已公开
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 DoS
• 全网数量 N/A

CWE-ID 漏洞类型 CWE-835 不可达退出条件的循环（无限循环）