aiocamedomotic 修复 Pygments 正则表达式拒绝服务漏洞 CVE-2026-4539

aiocamedomotic 项目通过紧急依赖项升级，修复了一个已公开的代码安全漏洞。该漏洞源于其文档生成工具链中使用的语法高亮库 Pygments 存在缺陷。具体而言，CVE-2026-4539 被标记为低严重性，其根源在于 Pygments 2.19.1 版本中 `AdlLexer` 组件使用了低效的正则表达式，可能引发正则表达式拒绝服务攻击。攻击者可利用此漏洞，通过构造特定恶意输入，导致处理进程消耗过量计算资源，从而影响服务可用性。

项目维护者响应了 GitHub Dependabot 发出的安全警报 #53，迅速将 Pygments 依赖从 2.19.1 版本升级至已修复该问题的 2.20.0 版本。此次更新并非可选，而是作为强制性的安全补丁被应用。变更涉及项目核心配置文件和文档依赖组，在 `pyproject.toml` 中为文档依赖组添加了 `pygments = ">=2.20.0,<3.0.0"` 的显式约束，并同步更新了 `docs/source/requirements.txt` 中的版本锁定和 `poetry.lock` 文件。

尽管被评估为低风险，但此类 ReDoS 漏洞在文档生成或代码展示等看似非核心的环节中出现，揭示了软件供应链安全的广泛性。它提醒开发者，任何传入外部数据并进行处理的组件，即使是用于文档渲染，都可能成为攻击面。此次修复已通过基础的安装测试，但完整的 CI 测试结果尚未确认，表明在将安全更新集成到生产流程前，仍需进行彻底的验证。对于依赖 aiocamedomotic 或其类似工具链的项目而言，审查并同步更新自身的 Pygments 依赖至安全版本，是降低潜在风险的必要步骤。