Уязвимость BadHost в Starlette угрожает тысячам AI-приложений

Уязвимость BadHost CVE-2026-48710 в Starlette для AI-приложений Python. Защита от SSRF и RCE.

Обнаружена серьезная уязвимость под названием "BadHost" (CVE-2026-48710), представляющая риск для AI-приложений на Python. Проблема затрагивает популярный фреймворк Starlette, который используется в тысячах проектов и насчитывает 325 миллионов скачиваний еженедельно.

Хотя уязвимость официально получила рейтинг 7/10, эксперты считают ее критической. "BadHost" влияет на множество инструментов, включая FastAPI, vLLM, LiteLLM, Text Generation Inference, прокси OpenAI, MCP-серверы, agent harnesses, evaluation dashboards и UI для управления моделями.

Что такое "badhost"

Уязвимость "BadHost" основана на внедрении одного символа в HTTP-заголовок Host. Это позволяет обойти механизмы авторизации по пути. Проблема заключается в том, что Starlette некорректно обрабатывает `request.url.path`, из-за чего данные расходятся с реальным HTTP-запросом. Это может привести к тому, что системы авторизации пропустят неавторизованных пользователей.

Эксплуатация уязвимости чревата серьезными последствиями. Возможен обход авторизации, риск Server-Side Request Forgery (SSRF), а в некоторых случаях — Remote Code Execution (RCE). Если уязвимость затрагивает MCP-серверы, атакующий может получить доступ к конфиденциальным данным, таким как учетные данные баз данных, электронной почты или календарей.

Как защититься

Для устранения "BadHost" необходимо обновить Starlette до версии 1.0.1 или новее. Компании X41 D-Sec и Nemesis разработали инструмент для диагностики уязвимости, доступный на mcp-scan.nemesis.services. Сканер поможет разработчикам выявить уязвимые инсталляции.

Это обновление критически важно для защиты AI-приложений на Python, особенно тех, что работают с внешними данными. Разработчикам стоит выполнить ряд действий: провести аудит систем с FastAPI, vLLM или LiteLLM, развернуть предложенный сканер безопасности и проверить конфигурацию файрволов, так как неправильные настройки могут усугубить уязвимость.

Ранее по теме
AI ускоряет проектирование авто и заменяет тесты

Больше новостей в нашем Телеграм. Подпишись!

Ссылка на источник тык.

Read more

Физические продукты OpenAI: баскетбольный мяч ChatGPT и устройство Codex Micro для разработчиков

OpenAI выпустила мерч и клавиатуру Codex Micro

Openai выходит в реальный мир OpenAI перестает быть исключительно цифровым сервисом и создает физический бренд, чтобы стать ближе к аудитории. Теперь компания стремится к узнаваемости за пределами экранов, хотя экспансия в сферу мерча всегда сопряжена с определенным репутационным риском. В рамках кампании Pause. Play. Prompt. появились кепки, бутылки и сумки.

Логотип Google Gemini 3.5 Pro на фоне графика акций Alphabet и символов искусственного интеллекта

Хаос в Google задержал Gemini 3.5 Pro

Внутренние проблемы и технические сбои Google затянул с выпуском Gemini 3.5 Pro из-за организационного хаоса. Четыре подразделения — DeepMind, Cloud, Android и Search — дублировали задачи друг друга, одновременно создавая инструменты для кодинга. Это привело к медленному принятию решений и неоправданному расходу ресурсов. Технические сложности также замедлили процесс: обновленные данные для

Логотипы Apple и OpenAI на фоне концепта AI-устройства и микросхем

Apple пригрозила 40 экс-сотрудникам в OpenAI

Apple против openai: битва за «железо» Apple и OpenAI конкурируют в сфере разработки AI-устройств, что создает ощутимую напряженность между компаниями. Apple заявляет, что это лишь начало. В центре внимания оказались бывшие сотрудники, в частности экс-дизайнер Apple, который теперь руководит аппаратным направлением в OpenAI. Компания действует решительно: юристы разослали предупреждения 40

Интерфейс Siri AI на экране Apple Watch в WatchOS 27 Public Beta

Siri AI в WatchOS 27 заменила ссылки ответами

Siri AI в WatchOS 27 public beta полностью меняет логику работы с Apple Watch. Теперь устройство не перенаправляет пользователя на сайты, а дает конкретный ответ в режиме живого диалога. Как настроить Обновите iPhone до iOS 27 Public Beta, после чего установите WatchOS 27 Public Beta через приложение Watch. В настройках

Хочешь больше информации про автоматизацию и AI?

В ТГ-канале «Дети нейросети» рассказываю про автоматизацию бизнеса.

Автоматизироваться
Дети Нейросети © 2026