CVE-2026-25640

Nome do Software Vulnerável e Versões Afetadas Pydantic AI versões 1.34.0 a 1.50.9

Descrição O Pydantic AI apresenta uma vulnerabilidade de path traversal em sua interface web. Uma URL especialmente criada pode ser utilizada por um atacante para servir JavaScript arbitrário dentro do contexto do aplicativo. Isso permite a execução de código controlado pelo atacante no navegador da vítima, potencialmente levando ao roubo do histórico de chats e cookies de sessão. O problema ocorre porque a URL do CDN é construída usando um parâmetro de consulta version não validado da URL da requisição, permitindo sequências de path traversal. Essa vulnerabilidade afeta aplicações que utilizam Agent.to web ou clai web para disponibilizar uma interface de chat, que podem estar sendo executadas localmente ou em um servidor remoto.

Recomendações Atualize para a versão 1.51.0 ou posterior para remover o parâmetro version controlado pelo usuário e prevenir a vulnerabilidade.