🔴 《严重安全漏洞:CVE-2026-15308》

CVSS 评分: 严重(10.0)  状态: Received  发布时间: 2026-07-09


漏洞简介

CVE-2026-15308 是 Python 标准库中 html.parser 模块(即增量式 HTML 解析器 html.parser.HTMLParser)存在的一个拒绝服务(Denial-of-Service, DoS)漏洞。该漏洞属于 CWE-400(未受控的资源消耗) 分类。

具体而言,当解析器处理不受控的外部数据时,如果遇到重复且未闭合的标记声明(unterminated markup declarations),会导致 CPU 资源被大量消耗,从而引发拒绝服务。攻击者无需任何身份认证或用户交互,仅通过网络发送精心构造的恶意 HTML 数据即可触发该漏洞。

影响范围

  • 受影响软件:Python 标准库中的 html.parser 模块(HTMLParser 类)
  • 影响版本:根据官方仓库的 issue 和修复 PR(Pull Request #153031),该漏洞影响所有使用 html.parser.HTMLParser 解析不受信 HTML 数据的 Python 版本。具体受影响的版本范围需参考 Python 官方安全公告(security-announce 邮件列表)中的详细说明。
  • CVSS 评分:CVSS:4.0 向量为 AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H,基础评分极高,表明该漏洞可被远程利用,攻击复杂度低,无需权限,且对机密性、完整性和可用性均造成影响(包括系统级和范围级)。

风险分析

  1. 攻击方式:攻击者通过向使用 html.parser.HTMLParser 解析 HTML 数据的应用程序发送包含重复未闭合标记声明的恶意负载,触发解析器进入 CPU 密集型循环,导致服务响应缓慢或完全不可用。
  2. 攻击后果
    • 服务拒绝:CPU 资源被耗尽,导致合法请求无法被处理,影响业务连续性。
    • 潜在级联影响:如果该解析器被用于关键服务(如 Web 应用防火墙、邮件解析、日志分析等),攻击可能导致整个系统瘫痪。
  3. 利用条件:攻击者无需认证,仅需通过网络发送恶意数据即可触发,利用门槛极低。
  4. 修复建议:Python 官方已在 GitHub PR #153031 中提交修复补丁,建议所有受影响版本的用户立即升级至包含该修复的 Python 版本,或对传入 html.parser 的数据进行严格的长度和格式校验。

🔍 技术细节

字段
CVE ID CVE-2026-15308
CVSS 评分 10.0 🔴
严重程度 严重
CVSS 向量 CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
CWE 分类 CWE-400
发布时间 2026-07-09
最后更新 2026-07-09
状态 Received
数据来源 cna@python.org

🔗 参考链接