Критическая уязвимость в Starlette поставила под удар ИИ-серверы и FastAPI

В экосистеме Python-разработки обнаружена критическая уязвимость, затрагивающая фреймворк Starlette. Данный компонент является фундаментальной зависимостью для FastAPI и ряда других инструментов, широко применяемых при создании ИИ-приложений, включая проекты vLLM и LiteLLM. Проблема носит фундаментальный характер, так как Starlette обеспечивает работу асинхронного серверного интерфейса (ASGI) и активно используется для взаимодействия с серверами протокола MCP (Model Context Protocol). Эти серверы позволяют ИИ-агентам обращаться к внешним ресурсам — от баз данных до корпоративных календарей и почты, где часто хранятся критически важные учетные данные.

Механика уязвимости CVE-2026-48710

Уязвимости присвоен идентификатор CVE-2026-48710 и наименование BadHost. Корень проблемы кроется в некорректной валидации HTTP-заголовков. Если говорить проще, злоумышленнику достаточно внедрить всего один специфический символ в заголовок Host, чтобы спровоцировать ошибку интерпретации URL. На практике это значит, что Starlette начинает ошибочно вычислять атрибут request.url.path, который перестает соответствовать реальному пути, указанному в HTTP-запросе. По сути, такая манипуляция позволяет успешно обходить механизмы авторизации, основанные на проверке пути.

Несмотря на то что официальный скоринг уязвимости составляет 7 баллов из 10, эксперты из компании X41 D-Sec настаивают на критическом уровне опасности. По их оценкам, ошибка открывает возможности для атак типа SSRF (межсайтовая подделка запросов) и в определенных сценариях может привести к удаленному выполнению произвольного кода на сервере.

Масштабы угрозы и последствия

Под ударом оказались многочисленные вспомогательные пакеты: от прокси-серверов, совместимых с API OpenAI, до интерфейсов для управления ИИ-агентами и инструментов оценки моделей. Исследователь Маркус Вервьер провел сканирование открытых сетей и обнаружил тысячи уязвимых целей, доступ к которым был скомпрометирован. В их число попали конфиденциальные системы: базы данных биофармацевтических испытаний, платформы для верификации личности, HR-системы с персональными данными соискателей, облачные инструменты мониторинга и даже SSH-доступы к IoT-сегментам.

Учитывая, что Starlette по официальным данным фиксирует до 325 миллионов загрузок еженедельно, масштаб потенциальных атак крайне велик. Разработчики фреймворка уже выпустили обновление до версии 1.0.1, закрывающее брешь. Для оперативного аудита инфраструктуры компании X41 D-Sec и Nemesis разработали специальный онлайн-инструмент, позволяющий проверить серверы на наличие данной уязвимости.