Во фреймворке Starlette, лежащем в основе FastAPI и ИИ-инструментов (vLLM, LiteLLM), обнаружена критическая уязвимость BadHost (CVE-2026-48710). Она позволяет обходить авторизацию через некорректную обработку HTTP-заголовков.
Злоумышленник может внедрить один символ в заголовок Host, чтобы изменить request.url.path и получить несанкционированный доступ. Это приводит к риску SSRF и удалённого выполнения кода, а также к утечке данных MCP-серверов, используемых ИИ-агентами.
Разработчик выпустил исправленную версию Starlette 1.0.1. Компания X41 D-Sec создала онлайн-сканер для проверки серверов на уязвимость. Исследователи обнаружили в открытом доступе базы клинических испытаний, системы верификации и другие конфиденциальные данные.
0 комментариев