Pydantic AI 受服务器端请求伪造 (SSRF) 在 URL 下载处理中影响

此 SSRF 漏洞允许攻击者利用 Pydantic AI 应用程序的 URL 下载功能，通过构造恶意的 URL，强制服务器向内部网络资源发起请求。攻击者可以利用此漏洞访问内部服务，例如数据库、管理界面或 API 端点，从而获取敏感信息或执行未经授权的操作。更严重的是，如果内部服务存储了云凭证或其他敏感数据，攻击者可能能够窃取这些凭证，并利用它们访问云环境。由于该漏洞仅影响接受来自外部用户消息历史记录的应用程序，因此攻击者需要能够控制应用程序接收到的消息内容，例如通过恶意聊天机器人或 API 请求。如果应用程序没有对 URL 进行适当的验证和过滤，则攻击风险会显著增加。

Applications built with Pydantic AI that accept message history from external users are at the highest risk. This includes chatbots, virtual assistants, and other AI-powered applications where user input is processed and used to generate responses. Specifically, deployments relying on untrusted message history sources or lacking robust input validation are particularly vulnerable.

• python / server:

import requests
import re

def check_pydantic_ai_ssrf(url):
    # Check for URL patterns indicative of SSRF attempts
    if re.search(r'^(?:127\.0\.0\.1|localhost|192\.168\.\d+\.\d+|10\.0\.\d+\.\d+)', url):
        print(f"Potential SSRF attempt detected: {url}")

# Example usage (replace with actual message history)
message_history = "...malicious_url_here..."
check_pydantic_ai_ssrf(message_history)

• generic web:

curl -I <your_pydantic_ai_endpoint> | grep -i 'Server:'

• generic web:

 grep -E 'http://127.0.0.1:8000|http://localhost:8000' /var/log/nginx/access.log

1. 2026-02-06Disclosure

   disclosure

1. 已保留2026-02-03
2. 发布日期2026-02-06
3. 修改日期2026-02-09
4. EPSS 更新日期2026-03-23

解决 CVE-2026-25580 的主要方法是升级到 Pydantic AI 1.56.0 或更高版本。如果无法立即升级，可以考虑以下缓解措施：对应用程序接收到的 URL 进行严格的验证和过滤，只允许访问受信任的域名和协议。实施网络隔离策略，限制 Pydantic AI 应用程序对内部网络的访问权限。使用 Web 应用程序防火墙 (WAF) 或代理服务器来检测和阻止恶意 URL 请求。在应用程序代码中添加额外的安全检查，以防止 SSRF 攻击。升级后，请验证 URL 下载功能是否正常工作，并确认已成功阻止了 SSRF 攻击。