Kritična ranjivost u Starletteu ugrozila milijune AI agenata i alata

Sigurnosni istraživač upozorava da je kritična ranjivost nazvana BadHost pronađena u Starletteu, otvorenokôdnom okviru s 325 milijuna preuzimanja tjedno. Prema navodima iz objave, propust može napadačima omogućiti upad na poslužitelje koji pokreću pogođene sustave te izvlačenje osjetljivih podataka i pristupnih podataka za račune trećih strana.

Ranjivost se prati pod oznakom CVE-2026-48710 i pogađa verzije Starlettea prije 1.0.1, koja je objavljena u petak. Uz FastAPI, pogođeni su i drugi široko korišteni paketi, među njima vLLM i LiteLLM. Starlette je temelj za FastAPI i druge često korištene okvire za izgradnju servisa u Python aplikacijama, a koristi se i kao osnova za mnoge povezane alate u AI okruženju.

Istraživači iz tvrtke Secwest navode da se problem odnosi na jedinstven znak umetnut u HTTP zaglavlje Host, koji zaobilazi autorizaciju temeljenu na putanji u Starletteu, odnosno u jezgri usmjeravanja FastAPI-ja. U istom upozorenju navodi se da taj mehanizam kroz FastAPI doseže velik dio Python AI ekosustava, uključujući vLLM, LiteLLM, Text Generation Inference, većinu OpenAI-shim proxyja, MCP poslužitelje, agent harness alate, eval nadzorne ploče i sučelja za upravljanje modelima.

Prema opisu istraživača iz X41 D-Sec, problem je u tome što Starlette rekonstruira URL na temelju HTTP zaglavlja Host i tražene putanje, ali ne provodi provjeru vrijednosti tog zaglavlja. To može omogućiti umetanje putanje u dio za host, dok se usmjeravanje i dalje oslanja na stvarnu putanju zahtjeva. X41 D-Sec navodi da takvo neusklađeno tumačenje HTTP zahtjeva može dovesti do zaobilaženja autentikacije kada se provjera oslanja na rekonstruirani URL. U pojedinim slučajevima, prema istim navodima, mogući su i SSRF napadi, a ponekad i udaljeno izvršavanje koda.

BadHost ima ocjenu ozbiljnosti 7 od 10, dok Secwest navodi da ta klasifikacija bitno podcjenjuje rizik za ljude koji koriste druge aplikacije ovisne o Starletteu. X41 D-Sec opisuje ranjivost kao kritične ozbiljnosti i navodi da je s tvrtkom Nemesis izradio internetski skener kojim se može provjeriti je li određeni poslužitelj ranjiv. X41 D-Sec istraživač Markus Vervier rekao je da je sken već pokazao kako su određene vrste podataka trenutačno izložene.

Razvojni programer Starlettea nije odmah odgovorio na e-poruku u kojoj je zatrađena potvrda procjene i dodatne informacije. S obzirom na to da se i dalje široko koriste ranjive verzije Starlettea u produkcijskim sustavima, osobe koje se oslanjaju na aplikacije ovisne o Starletteu, posebno FastLLM, vLLM i LiteLLM, trebale bi, prema preporuci iz objave, barem pokrenuti skener na svojim sustavima kako bi provjerile je li ranjivi kôd još uvijek u uporabi. Dodatne upute za ublažavanje navedene su u poveznicama koje su objavili Nemesis i X41 D-Sec.