深度分析
Starlette 框架 BadHost 漏洞解析:影響 FastAPI、vLLM 等 AI 代理人服務
Starlette為PythonAI服務常用框架,近期發現BadHost漏洞允許攻擊者在HTTPHost標頭注入字符,繞過路由授權。此缺陷波及FastAPI、vLLM、LiteLLM等上千套工具,導致憑證與敏感資料外洩風險升高。CVE-2026-48710編號,嚴重度7分。
深度分析
Starlette為PythonAI服務常用框架,近期發現BadHost漏洞允許攻擊者在HTTPHost標頭注入字符,繞過路由授權。此缺陷波及FastAPI、vLLM、LiteLLM等上千套工具,導致憑證與敏感資料外洩風險升高。CVE-2026-48710編號,嚴重度7分。
深度分析
資安研究者揭露Starlette框架存在一項關鍵漏洞,可使攻擊者藉由修改HTTPHost欄位注入路徑,讓框架錯誤重建請求URL並繞過基於路徑的授權,導致SSRF或遠端程式執行;受影響系統涵蓋FastAPI生態、MCP伺服器與多個AI代理,存在敏感資料與憑證外洩風險。