重大なBadHost脆弱性が、数百万のAIエージェント、推論サーバー、および本番アプリケーションをリスクにさらしており、悪用に必要なのは単一の不正なHTTPヘッダーだけです。
CVE-2026-48710として追跡されるこの欠陥は、2026年1月27日にOpen Source Technology Improvement Fund(OSTIF)が支援するソースコード監査中に、X41 D-Secのセキュリティ研究者によって発見されました。
この脆弱性は、Starletteのバージョン0.8.3から1.0.1のすべてに影響し、週あたり約3億2,500万回ダウンロードされるオープンソースのPython ASGIフレームワークも含まれます。
Starletteは、{scheme}://{host_header}{path}という式を使用してリクエストの完全なURLを再構築し、受信HTTPリクエストから直接Hostヘッダーの値を取得します。このフレームワークは、request.urlを構築する前にRFC 9112 §3.2に対してこのヘッダーを検証していませんでした。
攻撃者は/、?、#などのパスを変更する文字をHostヘッダーに挿入できます。
例えば、/adminへのリクエストにHost: example.com/abc?bar=を送信すると、StarletteはURLをhttp://example.com/abc?bar=/adminとして再構築し、request.url.pathが/adminではなく/abcとして表示されます。
Starletteのルーティングエンジンは生のHTTPパスを使用する一方で、ミドルウェアはrequest.url.pathを評価するため、パスベースの認証チェックは実際にリクエストされたパスとは完全に異なるパスを参照します。
その結果、認証情報も、ユーザーの操作も、複雑な攻撃チェーンも不要で、完全な認証バイパスが可能となります。一部の構成では、X41 D-SecはSSRFやリモートコード実行にまで連鎖する悪用を確認しています。
この影響は、現代のAIデプロイメント全体で劇的に増幅されます。最も広く採用されているPython AIバックエンドフレームワークであるFastAPIはStarlette上に直接構築されており、パスベースのミドルウェアを使用するFastAPIアプリケーションはすべて脆弱である可能性があります。
影響が確認されたエコシステムにはvLLMおよびLiteLLM OpenAI互換推論サーバー、AIエージェントオーケストレーションパイプラインで使用されるMCP(Model Context Protocol)サーバー、FastAPIまたはStarlette上に直接構築されたAIエージェントフレームワークが含まれます。
BadHostを悪用した攻撃者は保護されたエンドポイントに到達し、機密のモデル出力を収集し、接続されたサービスに埋め込まれたサードパーティAPIの認証情報を窃取できます。
BadHostによると、この欠陥はCVSS 4.0スコア7.0(高)であり、ネットワーク経由でゼロ認証で悪用可能なベクターを持ち、リモートから簡単にトリガーできることを反映しています。
修正は2026年5月21日にStarlette 1.0.1でリリースされ、RFC 9112 §3.2およびRFC 3986 §3.2.2の文法に対してHostヘッダーを検証し、不正な値に対してはscope["server"]にフォールバックします。
組織はリスクを軽減するために直ちに対応する必要があります:
適切に設定されたファイアウォールやリバースプロキシなしでAIインフラストラクチャを運用しているチームは、脅威アクターがすでに非常に単純なエクスプロイトを武器化する前に、直ちにパッチを適用することが強く推奨されます。
翻訳元: https://cyberpress.org/badhost-exploit-exposes-sensitive-ai/
