世界中の何百万もの人工知能エージェントとツールが重大な脆弱性の影響を受けており、ハッカーがそれらを実行するサーバーを侵害し、機密データやサードパーティアカウントの認証情報を盗み出す可能性があるとセキュリティ研究者が警告している。
この脆弱性は、オープンソース フレームワークである Starlette に存在しており、その開発者によれば、週に 3 億 2,500 万件のダウンロードが行われているとのことです。他の何千ものオープンソース プロジェクトも、動作するために Starlette を必要とするため脆弱です。このフレームワークは ASGI (Asynchronous Server Gateway Interface) の実装であり、大量のリクエストを同時に効率的に処理できます。 Starlette は、FastAPI や、Python アプリケーションや他の多くのサービスを構築するために広く使用されているその他のフレームワークの基礎です。
悪用は簡単、数百万台のサーバーが危険にさらされる
ASGI (拡張子は Starlette) は、MCP (Model Context Protocol) を実行しているサーバーにアクセスできます。MCP (Model Context Protocol) を使用すると、大手ベンダーの AI エージェントが、ユーザー データベース、電子メールやカレンダーのアカウント、その他あらゆる種類のリソースを含む外部ソースにアクセスできるようになります。これらの外部システムに接続するために、MCP サーバーはそれぞれの認証情報を保存するため、攻撃者にとってハッキングの対象となる特に貴重なリポジトリになります。
この脆弱性は CVE-2026-48710 として追跡され、BadHost という名前で知られており、悪用するのは簡単で、適切に構成されたファイアウォールの内側にないほとんどのシステムに対して機能します。 FastAPI に加えて、vLLM や LiteLLM など、広く使用されている他のパッケージも影響を受けます。 BadHost は、金曜日にリリースされた Starlette の 1.0.1 より前のバージョンに影響を与えます。
Secwest の研究者らは、「HTTP ホスト ヘッダーに挿入された 1 文字が、FastAPI のルーティング コアである Starlette のパスベースの認証をバイパスします」と書いています。 「FastAPI を介して、このプリミティブ (発見者によって現在 CVE-2026-48710 として追跡され、BadHost のブランド名が付けられている) は、Python AI ツールキットの大部分に到達します。vLLM (バグが発見された場所)、LiteLLM、テキスト生成推論、ほとんどの OpenAI-shim プロキシ、MCP サーバー サーバー、およびサーバー管理、サーバー、および MCP サーバーです。」
BadHost の重大度は 10 点中 7 点となっています。Secwest 氏は、この分類は、Starlette に依存する他のアプリケーションを使用している人々に対して、BadHost がもたらす脅威を「大幅に過小評価している」と述べています。これを発見したセキュリティ会社 X41 D-Sec は、これは「重要なハードウェア」を備えていると述べました。 X41 D-Sec は、セキュリティ会社 Nemesis と提携して、特定のサーバーに脆弱性があるかどうかをチェックできるオンライン スキャナーを作成しました。
