Mi történt
Egy kritikusnak minősített sérülékenység került elő a Starlette nevű, nyílt forráskódú Python webes keretrendszerben. A Starlette az ASGI (asynchronous server gateway interface) világában mozog: gondolj rá úgy, mint egy forgalomirányítóra, ami egyszerre sok párhuzamos kérést tud hatékonyan kezelni. Emiatt népszerű alapréteg sok modern Python szolgáltatás alatt.A sebezhetőség (CVE-2026-48710, „BadHost”) lényege, hogy egyetlen karakter beszúrása a HTTP Host fejlécbe meg tudja kerülni a Starlette útvonal-alapú jogosultságkezelését. A Host fejléc az a mező, ami megmondja a szervernek, milyen „címre” érkezett a kérés; normál esetben ez ártalmatlan metaadat. Itt viszont úgy tűnik, hogy a routing (útvonalválasztás) és az engedélyezés egyes kombinációiban a manipulált Host érték kinyithat olyan útvonalakat is, amelyekhez nem kellene hozzáférni.
A hiba a Starlette 1.0.1 előtti verzióit érinti; a javítás már megjelent. Az érintett ökoszisztéma nagy, mert a Starlette a FastAPI alapja, és több, AI környezetben gyakran használt csomag is rá épít (például vLLM és LiteLLM). A sebezhetőség különösen veszélyes lehet az MCP (model context protocol) szervereknél: az MCP egy olyan „csatlakozó szabvány”, amin keresztül az AI agent külső erőforrásokat ér el (adatbázisok, levelezés, naptár, egyéb fiókok). Ezek a szerverek gyakran hitelesítő adatokat (credentialöket) tárolnak a külső rendszerekhez, így vonzó célpontok.
Miért fontos
Az ilyen hibák azért fájnak, mert nem egyetlen alkalmazást érintenek, hanem egy komplett építőkockát. Ha a Starlette a ház alapja, akkor a repedés nem csak a nappaliban jelenik meg: minden ráépített szolgáltatásnál újra vizsgálnod kell, hogy a jogosultságkezelésed mennyire támaszkodik útvonalakra, és mennyire véd a hálózati perem (tűzfal, fordított proxy, belső háló). Ráadásul az AI agentes rendszereknél a „zsákmány” gyakran nem csak adat, hanem kulcsok és tokenek, amikkel további fiókokhoz lehet hozzáférni.Mire figyelj
- Verzió és függőségek: ellenőrizd, fut-e Starlette 1.0.1 előtti verzió bármely szolgáltatásodban, közvetlenül vagy transzitív függőségként (FastAPI/vLLM/LiteLLM és társai alatt is).
- Kitettség a net felé: a hiba „triviálisan” kihasználhatónak tűnik, főleg ott, ahol nincs rendesen konfigurált tűzfal vagy a szolgáltatás közvetlenül elérhető az internetről.
- MCP és titkok kezelése: ha MCP szervert vagy agent „harness”-t üzemeltetsz, nézd át, hol és hogyan tárolod a külső rendszerekhez tartozó credentialöket (rotáció, minimális jogosultság, elkülönítés), mert ezek a legértékesebb célpontok.
- Értékelés a súlyosságról: a CVSS 7/10 közepesen magasnak hangzik, de a gyakorlati kockázatot az adja, mennyire sok helyen van kint a komponens és milyen adatokhoz fér hozzá. Ars Technica AI is azt hangsúlyozza, hogy az ökoszisztéma-kitettség miatt a valós veszély sok környezetben nagyobb lehet, mint amit egyetlen szám sugall.
Ha AI agenteket vagy Python-alapú AI szolgáltatásokat futtatsz, ezt most érdemes „infrastruktúra-higiéniai” feladatként kezelni: gyors frissítés, kitettség csökkentése, és a hozzáférési titkok újragondolása.
