Эксперты в области кибербезопасности обнаружили серьезную уязвимость BadHost в популярном Python-фреймворке Starlette, которая может поставить под угрозу работу миллионов серверов и инструментов с искусственным интеллектом по всему миру.
Об этом сообщает Бизнес • Медиа
Какие системы оказались под риском
Уязвимость с идентификатором CVE-2026-48710 затрагивает все версии Starlette до 1.0.1. Starlette широко используется как основа для FastAPI и других решений, применяемых в разработке ИИ-сервисов. По данным разработчиков, этот фреймворк загружается более 325 миллионов раз в неделю.
Проблема касается не только FastAPI, но и таких решений, как vLLM, LiteLLM, Text Generation Inference, OpenAI-прокси и серверы MCP, которые обеспечивают доступ ИИ-агентов к внешним сервисам и базам данных.
«Исследователи предупредили о риске кражи учетных данных, SSRF-атак и удаленного выполнения кода».
По выводам команд Secwest и X41 D-Sec, уязвимость позволяет злоумышленникам обходить системы авторизации, подделывать серверные запросы (SSRF-атаки) и даже запускать произвольный код на уязвимых серверах. Особенно опасным является тот факт, что большинство таких серверов содержат SSH-ключи, учетные данные AWS, почтовые данные, календари, внутреннюю документацию и другую конфиденциальную информацию.
Причины и последствия BadHost
Специалисты объясняют, что уязвимость возникла из-за ошибок в обработке HTTP-заголовка Host в Starlette. Это позволяет злоумышленникам создавать дополнительные пути в запросах и обходить проверки авторизации.
Хотя официальный рейтинг серьезности уязвимости равен 7 из 10, эксперты Secwest убеждены, что реальные риски значительно выше. Во время сканирования исследователи X41 D-Sec обнаружили потенциально уязвимые системы в сферах биофармацевтики, HR, SaaS, кибербезопасности, IoT и облачных сервисов.
Специалисты настоятельно рекомендуют всем пользователям FastAPI, vLLM, LiteLLM и других инструментов на базе Starlette как можно скорее проверить свои инфраструктуры и обновить программное обеспечение до безопасных версий.