Pydantic AI 存在 Web UI CDN URL 中的路径遍历导致的存储型 XSS

该 XSS 漏洞的潜在影响非常严重。攻击者可以利用该漏洞在受害者的浏览器中执行任意 JavaScript 代码，从而窃取聊天历史记录、会话 cookie 以及其他存储在浏览器中的敏感数据。攻击者还可以利用该漏洞将用户重定向到恶意网站，或执行其他恶意操作。由于 pydantic-ai Web UI 通常用于本地开发和测试，因此该漏洞可能不会直接影响公共互联网用户，但如果应用程序被部署到生产环境，则可能导致严重的安全风险。攻击者可以通过精心设计的 URL，诱骗用户点击或通过 iframe 访问该恶意页面。

Developers and users of Pydantic AI who are utilizing Agent.to_web or clai web to serve chat interfaces, particularly those running these interfaces in environments accessible from outside the local machine (e.g., shared hosting, cloud deployments). Legacy configurations or deployments that haven't been updated to the latest version are also at increased risk.

• python / web:

import requests
import re

url = "http://localhost:8000/chat?message=<script>alert('XSS')</script>"
response = requests.get(url)

if re.search(r'<script>', response.text, re.IGNORECASE):
    print("Potential XSS vulnerability detected!")
else:
    print("No XSS detected.")

1. 2026-02-06Disclosure

   disclosure

1. 已保留2026-02-04
2. 发布日期2026-02-06
3. EPSS 更新日期2026-03-23

为了缓解 CVE-2026-25640 漏洞，建议立即升级到 pydantic-ai 版本 1.51.0 或更高版本。如果无法立即升级，可以考虑以下临时缓解措施：禁用 Agent.to_web 和 clai web 功能，或者对用户输入进行严格的验证和过滤，以防止恶意 URL 的注入。此外，可以配置 Web 应用程序防火墙 (WAF) 或代理服务器，以拦截和阻止包含恶意 JavaScript 代码的请求。请务必在升级后验证修复是否有效，例如通过尝试访问包含特殊字符的 URL，确认是否能够正确地进行转义。