发布日期：2026-02-06
更新日期：2026-04-09

受影响系统：

Pydantic Pydantic-AI >= 1.34.0 < 1.51.0

描述：

---

CVE(CAN) ID: CVE-2026-25640

Pydantic-Ai是Pydantic开源的一个用于构建生产级应用程序和工作流的生成式AI框架。
Pydantic-Ai 1.34.0至1.51.0之前版本存在路径遍历漏洞，该漏洞源于构建CDN URL时直接使用请求URL中的版本查询参数，且未对该参数进行验证和清理，攻击者可利用该漏洞构造包含路径遍历序列的恶意URL，使服务器从同一CDN上的任意源加载并执行攻击者控制的HTML/JavaScript代码,当受害者点击该链接或通过iframe访问时，恶意脚本在受害者浏览器中执行从而窃取聊天历史记录及其他客户端敏感数据。

<*链接：https://github.com/pydantic/pydantic-ai/security/advisories/GHSA-wjp5-868j-wqv7
*>

建议：

---

厂商补丁：

Pydantic
--------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/pydantic/pydantic-ai/security/advisories/GHSA-wjp5-868j-wqv7

浏览次数：39
严重程度：0（网友投票）