BadHost (CVE-2026-48710) в Starlette позволяет обходить аутентификацию и получить доступ к инфраструктуре AI‑агентов

Исследователи Secwest и X41 D‑Sec выявили высокоопасную уязвимость BadHost в веб‑фреймворке Starlette — CVE‑2026‑48710 — которая позволяет злоумышленникам обходить проверки путей и получать доступ к внутренним сервисам, включая инфраструктуру AI‑агентов и шлюзы для больших языковых моделей. Уязвимость критична для тех развёртываний Starlette, которые не фильтруют и не нормализуют заголовок Host перед формированием URL; по данным отчёта, Starlette получает около 325 миллионов загрузок в неделю, что подчёркивает масштаб потенциального риска.

Технически проблема возникает из способа, которым Starlette строит request.url: фреймворк конкатенирует значение заголовка Host с путём запроса и затем повторно парсит полученную строку без строгой валидации Host в соответствии с RFC 9112 и RFC 3986. Вставка символов '/', '? ' или '#' в поле Host при перепарсинге смещает границы path/query/fragment и позволяет обойти защитные проверки. В отчёте приводится рабочий пример: curl -i -H 'Host: foo' http: //target/admin # 403, blocked; curl -i -H 'Host: foo? ' http: //target/admin # 200, served — при этом фактический ASGI‑маршрут остаётся тем же.

Анализ показывает, что уязвимость проявляется на стыке трёх компонентов: ASGI‑серверы передают необработанный Host, Starlette доверяет этому значению при построении URL, а промежуточное ПО (middleware) принимает решения об авторизации, опираясь на request.url.path. X41 продемонстрировала цепочки эксплойта, которые развивают этот примитив в обход аутентификации, SSRF и удалённое выполнение кода; дополнительно в ходе аудита кода обнаружение проявилось в vLLM. Хотя по шкале риска уязвимости присвоили оценку 6.5, авторы предупреждают, что такая классификация может недооценивать реальные последствия.

Особенно уязвимы AI‑сервисы, развернутые в лабораторных сетях и исследовательских средах без фронт‑сервера или API‑шлюза, а также MCP‑серверы: спецификация MCP требует наличия неаутентифицированных endpoints для OAuth discovery, что даёт надёжный вектор для эксплуатации через BadHost. В сообществе отмечают, что статус «medium» и медленное распространение исправлений повышают риск, одновременно часть смягчающих мер остаётся эффективной, если Starlette не выставлен напрямую в интернет и все запросы проходят через CDN или балансировщик нагрузки.

Практические рекомендации для разработчиков и операторов: немедленно обновить Starlette до версии 1.0.1, где уязвимость устранена; не полагаться на request.url.path как единственный критерий авторизации; обеспечивать строгую валидацию и нормализацию заголовка Host на фронт‑уровне (CDN, reverse proxy, load balancer) и провести аудит внутренних развёртываний LLM, оценщиков качества и MCP‑эндпоинтов. Исследователи призывают к срочному патчингу и проверке промежуточного ПО, принимающего решения на основе URL.