Milijuni AI agenata i alata diljem svijeta suočeni su s kritičnom ranjivošću koja može omogućiti hakerima da provale u poslužitelje koji ih pokreću i ukradu osjetljive podatke i vjerodajnice za račune trećih strana, upozorava sigurnosni istraživač.
Ranjivost se nalazi u Starletteu, open source okviru čiji developer tvrdi da prima 325 milijuna preuzimanja tjedno. Tisuće drugih open source projekata također su ranjive jer zahtijevaju Starlette za rad. Ovaj okvir je implementacija ASGI (asynchronous server gateway interface), koja omogućuje učinkovito procesuiranje velikog broja zahtjeva istovremeno. Starlette je osnova FastAPI-ja i drugih široko korištenih okvira za izgradnju servisa u Python aplikacijama.
Ranjivost je trivijalna za iskorištavanje, milijuni poslužitelja su izloženi. ASGI, a time i Starlette, imaju pristup poslužiteljima koji pokreću MCP (model context protocol), što omogućuje AI agentima velikih pružatelja pristup vanjskim izvorima, uključujući baze podataka korisnika, e-mail i kalendarske račune, kao i razne druge resurse. Za povezivanje s ovim vanjskim sustavima, MCP poslužitelji pohranjuju vjerodajnice za svaki od njih, čineći ih posebno vrijednim skladištima za napadače.
Ranjivost, označena kao CVE-2026-48710 i pod nazivom BadHost, lako je iskoristiti i djeluje protiv većine sustava koji nisu zaštićeni pravilno konfiguriranim vatrozidom. Osim FastAPI-ja, i drugi široko korišteni paketi – uključujući vLLM i LiteLLM – također su pogođeni. BadHost utječe na verzije Starlettea prije 1.0.1, koja je objavljena u petak.
“Jedan jedini znak umetnut u HTTP Host zaglavlje zaobilazi autorizaciju temeljen na putanji u Starletteu, srži usmjeravanja FastAPI-ja,” napisali su istraživači iz Secwesta. “Kroz FastAPI, ova ranjivost (sada označena kao CVE-2026-48710 i označena kao BadHost od strane otkrivača) doseže veliki segment ekosustava alata za Python AI: vLLM (gdje je greška otkrivena), LiteLLM, Text Generation Inference, većina OpenAI-shim proxyja, MCP poslužitelji, agenti, eval dashboards i UI za upravljanje modelima.”
BadHost nosi ocjenu ozbiljnosti 7 od 10. Secwest je rekao da klasifikacija “značajno podcjenjuje” prijetnju koju predstavlja za korisnike drugih aplikacija koje ovise o Starletteu. X41 D-Sec, sigurnosna tvrtka koja je otkrila ranjivost, opisala ju je kao “kritičnu ozbiljnost.” X41 D-Sec surađivala je sa sigurnosnom tvrtkom Nemesis na izradi online skenera koji može provjeriti je li određeni poslužitelj ranjiv.
