发布日期：2026-02-09
更新日期：2026-04-07

受影响系统：

Pydantic Pydantic

描述：

---

CVE(CAN) ID: CVE-2026-25905

Pydantic是Pydantic开源的可以使用Python类型提示进行数据验证的库。
Pydantic存在代码注入漏洞，该漏洞源于由runPython或runPythonAsync运行的Python代码并未与其余JS代码隔离，导致任意Python代码都可以使用Pyodide API来修改JS环境，攻击者可利用该漏洞劫持MCP服务器。

<**>

建议：

---

厂商补丁：

Pydantic
--------
厂商尚未提供漏洞修复方案，请关注厂商主页更新：
https://research.jfrog.com/vulnerabilities/mcp-run-python-lack-of-isolation-mcp-takeover-jfsa-2026-001653030/

浏览次数：66
严重程度：0（网友投票）