Starlette 漏洞把 AI 代理安全推上台面
CVE-2026-48710 可借 Host 头绕过路径授权,影响 FastAPI、MCP 服务器和多类 AI 工具链,凸显代理系统的高风险暴露面。(2038, 2042, 2055)
Starlette漏洞危及AI代理和Python服务
安全研究人员表示,Starlette 中存在一个严重漏洞,编号为 CVE-2026-48710,代号 BadHost,攻击者只需在 HTTP Host 头中构造一个字符,就可能绕过基于路径的授权。该漏洞影响 1.0.1 之前的 Starlette 版本,并且被认为在许多暴露在公网的系统上都很容易利用。
Starlette 是 Python 生态中基础性的 ASGI 框架,并通过 FastAPI 等工具产生了巨大的下游影响,因此一个漏洞可能波及数百万个服务。由于 MCP 服务器和 AI 代理基础设施可能保存邮件、数据库、日历等外部系统的凭据,一旦被攻破,就可能泄露高度敏感的账户和数据。
研究人员警告称,Starlette 中一个严重漏洞可能让数百万个 AI 代理和 Python 服务面临服务器被入侵以及凭据被窃取的风险。Starlette 是一个轻量级 ASGI 工具包,被广泛用作 FastAPI 以及许多其他 Python 框架的基础。这个漏洞被编号为 CVE-2026-48710,发现者将其命名为 BadHost。根据 Secwest 的说法,攻击者只需在 HTTP Host 头中注入一个字符,就可能绕过 Starlette 的基于路径的授权。也就是说,如果服务器没有放在配置正确的防火墙后面,攻击者就可能访问原本受保护的端点。
这个问题对 MCP 服务器尤其危险,因为它们把 AI 系统连接到外部服务,并且常常保存数据库、邮件、日历等系统的凭据。报道指出,该漏洞波及 Python AI 工具生态中的很大一部分,包括 vLLM、LiteLLM、Text Generation Inference、OpenAI shim 代理、代理运行框架、评测面板和模型管理界面。虽然该漏洞被评为 7 分,但 Secwest 认为这一评级低估了真实风险,而 X41 D-Sec 则将其称为关键级严重漏洞。受影响的是 1.0.1 之前的 Starlette 版本,X41 D-Sec 还与 Nemesis 合作制作了一个在线扫描器,用于检查服务器是否存在漏洞。
Secwest 表示,该漏洞影响 FastAPI 依赖的路由核心,并波及 vLLM、LiteLLM、Text Generation Inference、OpenAI shim 代理、MCP 服务器、代理运行框架、评测面板和模型管理界面等项目。X41 D-Sec 和 Nemesis 还发布了在线扫描器,Starlette 1.0.1 已于周五发布以修复该问题。
