Starletteウェブフレームワークに「BadHost」(CVE-2026-48710)と呼ばれる重大な脆弱性が発見され、数千ものAI搭載アプリケーションおよびAPIサービスが攻撃を受ける可能性にさらされています。
この欠陥は、OSTIFが支援するセキュリティ監査においてX41 D-Secによって発見されたもので、攻撃者がサーバーの受信リクエスト処理を操作し、認証制御を回避して機密エンドポイントへの不正アクセスを可能にします。
StarletteはFastAPIや他の現代的なPythonベースのAIサービスの基盤として広く使用されていることから、この脆弱性がAIエコシステム全体に与える影響は非常に大きいものとなっています。
BadHostの脆弱性について
この問題の根本原因は、旧バージョンのStarletteがHTTPのHostヘッダーを処理する方法にあります。このフレームワークは、適切なサニタイズ処理を行わずに、ユーザーが提供したHostヘッダーから直接request.urlオブジェクトを生成します。
この安全でない動作により、攻撃者は悪意あるリクエストを作成し、解釈中にrequest.url.pathの値を改ざんして、保護されたルートを正規のものとアプリケーションに誤認識させることが可能になります。
その結果、管理者用または内部APIへのアクセスを制限するために一般的に使用されるパスベースの認証ミドルウェアが、有効な認証情報なしに回避される可能性があります。
この脆弱性は特にFastAPIとStarletteに大きく依存するAIインフラストラクチャに対して広範な影響を及ぼします。影響を受けるシステムには、vLLMやLiteLLMなど広く使われている推論サーバー、Model Context Protocol(MCP)サーバー、OpenAI互換API、そして各種カスタムAIエージェントフレームワークが含まれます。
多くの展開環境では、機密エンドポイントはURLパスの検証のみによって保護されており、このような操作に対して特に脆弱となっています。BadHostを悪用した攻撃者は、制限されたAIモデルへのアクセス、機密プロンプトデータの抽出、または不正なタスクへのコンピュートリソースの悪用が可能になる恐れがあります。
セキュリティ研究者は、CVE-2026-48710の悪用は比較的容易であり認証を必要としないため、深刻度が高いと警告しています。
実際の攻撃シナリオでは、特別に細工されたHostヘッダーによってバックエンドサービスがリクエストを誤って解釈し、本来公開されることを意図していなかった隠しエンドポイントや内部エンドポイントが露出する可能性があります。また、特にセグメンテーションが緩いインフラストラクチャにおいて、AI環境内での横展開(ラテラルムーブメント)を促進する恐れもあります。
この問題に対処するため、開発者および組織はStarlette 1.0.1以降へのアップグレードを強く推奨されています。当該バージョンには脆弱性へのパッチが含まれています。
さらに、アプリケーションレベルおよびリバースプロキシレベルの両方でHostヘッダーの厳格な検証を実装することで、リスクの軽減に役立ちます。セキュリティチームはパスベースのアクセス制御のみに頼ることを避け、多層的な認証メカニズムを採用すべきです。
Nemesisが提供するような自動スキャンツールを活用することで、インフラストラクチャ全体にわたって露出したAIエンドポイントや脆弱な展開環境を特定することができます。
BadHostの脆弱性は、従来のウェブアプリケーションの欠陥と現代のAIシステムの交差点が拡大していることを浮き彫りにしています。AIインフラストラクチャが急速にスケールし続ける中、リクエスト処理における些細な設定ミスでさえ深刻なセキュリティ上の影響をもたらし得るため、積極的なパッチ適用と堅牢な入力値検証がこれまで以上に重要となっています。
最新情報をいち早く入手するにはGoogle ニュース、LinkedIn、Xでフォローし、GoogleでGBHを優先ソースに設定してください。
翻訳元: https://gbhackers.com/badhost-vulnerability-exposes-sensitive-ai-agent-server/
