प्लेटफ़ॉर्म
python
घटक
pydantic-ai
में ठीक किया गया
1.34.1
1.51.0
CVE-2026-25640 एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है जो Pydantic AI वेब UI में पाई गई है। यह भेद्यता हमलावरों को मनमाना जावास्क्रिप्ट कोड निष्पादित करने की अनुमति देती है, जिससे संवेदनशील डेटा, जैसे कि चैट इतिहास, चोरी हो सकता है। यह भेद्यता Pydantic AI के संस्करण 1.50.0 और उससे पहले के संस्करणों को प्रभावित करती है। संस्करण 1.51.0 में इस समस्या का समाधान किया गया है।
यह XSS भेद्यता हमलावरों को Pydantic AI वेब UI के संदर्भ में मनमाना जावास्क्रिप्ट कोड चलाने की अनुमति देती है। हमलावर एक दुर्भावनापूर्ण URL बना सकते हैं और यदि कोई पीड़ित उस लिंक पर क्लिक करता है या इसे iframe के माध्यम से एक्सेस करता है, तो हमलावर-नियंत्रित कोड पीड़ित के ब्राउज़र में निष्पादित होगा। इससे हमलावर चैट इतिहास सहित क्लाइंट-साइड डेटा चुरा सकता है। इस भेद्यता का उपयोग सत्र अपहरण, फ़िशिंग हमलों और अन्य दुर्भावनापूर्ण गतिविधियों को करने के लिए किया जा सकता है। चूंकि यह वेब UI के माध्यम से संचालित होता है, इसलिए इसका प्रभाव उन उपयोगकर्ताओं तक सीमित नहीं है जो सीधे एप्लिकेशन का उपयोग करते हैं, बल्कि उन सभी तक भी विस्तारित हो सकता है जो दुर्भावनापूर्ण लिंक के संपर्क में आते हैं।
CVE-2026-25640 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन XSS भेद्यताओं के लिए सार्वजनिक रूप से उपलब्ध शोषण मौजूद हैं। यह भेद्यता CISA KEV सूची में शामिल नहीं है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक नहीं देखा गया है, लेकिन XSS भेद्यताओं के लिए सामान्य शोषण तकनीकों का उपयोग करके इसका शोषण किया जा सकता है।
Developers and users of Pydantic AI who are utilizing Agent.to_web or clai web to serve chat interfaces, particularly those running these interfaces in environments accessible from outside the local machine (e.g., shared hosting, cloud deployments). Legacy configurations or deployments that haven't been updated to the latest version are also at increased risk.
• python / web:
import requests
import re
url = "http://localhost:8000/chat?message=<script>alert('XSS')</script>"
response = requests.get(url)
if re.search(r'<script>', response.text, re.IGNORECASE):
print("Potential XSS vulnerability detected!")
else:
print("No XSS detected.")disclosure
एक्सप्लॉइट स्थिति
EPSS
0.01% (2% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-25640 को कम करने के लिए, Pydantic AI को संस्करण 1.51.0 या बाद के संस्करण में तुरंत अपडेट करें। यदि तत्काल अपडेट संभव नहीं है, तो वेब UI को अक्षम करने या एक्सेस को प्रतिबंधित करने पर विचार करें। वेब एप्लिकेशन फ़ायरवॉल (WAF) नियमों को लागू करना जो XSS हमलों को रोकते हैं, एक अतिरिक्त सुरक्षा परत प्रदान कर सकता है। इनपुट सत्यापन और आउटपुट एन्कोडिंग तकनीकों को लागू करना भी महत्वपूर्ण है ताकि यह सुनिश्चित किया जा सके कि उपयोगकर्ता इनपुट को सुरक्षित रूप से संभाला जाए। अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता का समाधान हो गया है, वेब UI की कार्यक्षमता का परीक्षण करें।
Actualice la biblioteca pydantic-ai a la versión 1.51.0 o superior. Esto corregirá la vulnerabilidad de path traversal y XSS almacenado. Puede actualizar usando pip: `pip install pydantic-ai==1.51.0`.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-25640 एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है जो Pydantic AI वेब UI को प्रभावित करती है, जिससे हमलावर मनमाना जावास्क्रिप्ट चला सकता है।
यदि आप Pydantic AI के संस्करण 1.50.0 या उससे पहले का उपयोग कर रहे हैं और Agent.to_web या clai web का उपयोग करके चैट इंटरफ़ेस को होस्ट कर रहे हैं, तो आप प्रभावित हैं।
Pydantic AI को संस्करण 1.51.0 या बाद के संस्करण में अपडेट करें। यदि तत्काल अपडेट संभव नहीं है, तो वेब UI को अक्षम करें या एक्सेस को प्रतिबंधित करें।
CVE-2026-25640 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन XSS भेद्यताओं के लिए सामान्य शोषण तकनीकों का उपयोग करके इसका शोषण किया जा सकता है।
Pydantic की वेबसाइट पर आधिकारिक सलाहकार देखें: https://ai.pydantic.dev/
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।