🔴 严重 | CVE-2026-15308 — The incremental HTML parser (html.parser.HTMLParse...
🔴 《严重安全漏洞:CVE-2026-15308》
CVSS 评分: 严重(10.0) 状态: Received 发布时间: 2026-07-09
漏洞简介
CVE-2026-15308 是 Python 标准库中 html.parser 模块(即增量式 HTML 解析器 html.parser.HTMLParser)存在的一个拒绝服务(Denial-of-Service, DoS)漏洞。该漏洞属于 CWE-400(未受控的资源消耗) 分类。
具体而言,当解析器处理不受控的外部数据时,如果遇到重复且未闭合的标记声明(unterminated markup declarations),会导致 CPU 资源被大量消耗,从而引发拒绝服务。攻击者无需任何身份认证或用户交互,仅通过网络发送精心构造的恶意 HTML 数据即可触发该漏洞。
影响范围
- 受影响软件:Python 标准库中的
html.parser模块(HTMLParser类) - 影响版本:根据官方仓库的 issue 和修复 PR(Pull Request #153031),该漏洞影响所有使用
html.parser.HTMLParser解析不受信 HTML 数据的 Python 版本。具体受影响的版本范围需参考 Python 官方安全公告(security-announce 邮件列表)中的详细说明。 - CVSS 评分:CVSS:4.0 向量为
AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H,基础评分极高,表明该漏洞可被远程利用,攻击复杂度低,无需权限,且对机密性、完整性和可用性均造成高影响(包括系统级和范围级)。
风险分析
- 攻击方式:攻击者通过向使用
html.parser.HTMLParser解析 HTML 数据的应用程序发送包含重复未闭合标记声明的恶意负载,触发解析器进入 CPU 密集型循环,导致服务响应缓慢或完全不可用。 - 攻击后果:
- 服务拒绝:CPU 资源被耗尽,导致合法请求无法被处理,影响业务连续性。
- 潜在级联影响:如果该解析器被用于关键服务(如 Web 应用防火墙、邮件解析、日志分析等),攻击可能导致整个系统瘫痪。
- 利用条件:攻击者无需认证,仅需通过网络发送恶意数据即可触发,利用门槛极低。
- 修复建议:Python 官方已在 GitHub PR #153031 中提交修复补丁,建议所有受影响版本的用户立即升级至包含该修复的 Python 版本,或对传入
html.parser的数据进行严格的长度和格式校验。
🔍 技术细节
| 字段 | 值 |
|---|---|
| CVE ID | CVE-2026-15308 |
| CVSS 评分 | 10.0 🔴 |
| 严重程度 | 严重 |
| CVSS 向量 | CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
| CWE 分类 | CWE-400 |
| 发布时间 | 2026-07-09 |
| 最后更新 | 2026-07-09 |
| 状态 | Received |
| 数据来源 | cna@python.org |
🔗 参考链接
💬 评论