Уязвимость BadHost в Python-фреймворке Starlette ставит под удар миллионы ИИ-агентов

Исследователи кибербезопасности из компании Secwest опубликовали данные об обнаружении уязвимости высокого уровня критичности в Python-фреймворке Starlette. Уязвимости, получившей идентификатор CVE-2026-48710 и название BadHost, присвоен рейтинг 7 из 10 по шкале CVSS. Проблема затрагивает механизмы обработки входящих HTTP-запросов и позволяет злоумышленникам манипулировать заголовком Host.

Природа уязвимости BadHost

Технически уязвимость BadHost связана с некорректной интерпретацией заголовка Host при формировании URL-адресов внутри фреймворка. Если говорить проще, злоумышленник может подменить данные в этом заголовке, что приведет к тому, что Starlette начнет генерировать ссылки, опираясь на искаженную информацию. В результате внутренние механизмы безопасности системы перенаправляются на невалидные пути, что позволяет атакующим обходить проверки доступа и получать несанкционированный доступ к конфиденциальной информации.На практике это значит, что при определенных конфигурациях сервер начинает доверять подложным данным, что открывает путь к эксфильтрации данных из систем, использующих Starlette. Основную угрозу это представляет для сервисов, работающих с Model Context Protocol (MCP) — протоколом, который позволяет ИИ-агентам взаимодействовать с внешним вебом и сторонними API. Поскольку такие агенты часто имеют доступ к авторизационным токенам, паролям и API-ключам, последствия эксплуатации уязвимости могут быть весьма серьезными.

Масштабы риска и ситуация с патчами

Starlette является одним из самых популярных Python-фреймворков, реализующих стандарт ASGI. Его еженедельная статистика загрузок превышает 325 миллионов, а сам фреймворк служит фундаментом для множества других решений, включая широко распространенный FastAPI. По мнению специалистов из Secwest, текущая оценка опасности уязвимости в 7 баллов является заниженной. Они указывают на то, что под угрозой могут находиться массивы данных в таких критических областях, как биофармацевтика, промышленный интернет вещей (IoT), системы верификации личности и корпоративное ПО класса SaaS.Разработчики фреймворка уже выпустили исправление в версии 1.0.1, полностью закрывающее уязвимость. Тем не менее, несмотря на доступность обновления, в реальном продакшн-окружении до сих пор функционирует огромное количество систем на базе уязвимых версий Starlette. Эксперты настоятельно рекомендуют провести аудит инфраструктуры на наличие зависимостей, использующих старые сборки фреймворка, и выполнить оперативное обновление до защищенной версии. На текущий момент Starlette официально не комментировала детали обнаружения BadHost.