💻 Критическая уязвимость BadHost в Python-фреймворке Starlette
В Starlette обнаружена уязвимость CVE-2026-48710, связанная с некорректной обработкой HTTP-заголовка Host. Это позволяет обходить механизмы аутентификации через подмену путей в реконструированном URL. Под угрозой оказались FastAPI, vLLM, LiteLLM и серверы MCP.
🌍 Масштаб угрозы огромен: Starlette используется в инфраструктуре AI-агентов и прокси-серверов (325 млн загрузок в неделю). Уязвимость создает риски SSRF, RCE и утечки данных, включая ключи AWS.
👤 Разработчикам AI-сервисов на базе FastAPI или vLLM необходимо немедленно обновить Starlette до версии 1.0.1 или выше. Проверить системы можно через https://mcp-scan.nemesis.services/.
Источник 1: https://arstechnica.com/information-technology/2026/05/millions-of-ai-agents-imperiled-by-critical-vulnerability-in-open-source-package/