Специалисты по кибербезопасности предупредили о критической уязвимости BadHost, которая потенциально затрагивает миллионы серверов и ИИ-сервисов по всему миру.
Проблему обнаружили в Starlette — популярном Python-фреймворке с открытым исходным кодом. По данным разработчиков, библиотека используется примерно 325 миллионов раз в неделю.
Уязвимость получила идентификатор CVE-2026-48710 и затрагивает версии Starlette ниже 1.0.1.
Исследователи из Secwest и X41 D-Sec сообщили, что проблема позволяет злоумышленникам обходить механизмы авторизации и проводить SSRF-атаки. В отдельных сценариях уязвимость также может привести к удаленному выполнению произвольного кода на сервере.
Эксперты подчеркнули, что Starlette лежит в основе FastAPI и ряда популярных инструментов для разработки ИИ-сервисов.
Среди потенциально затронутых решений называются vLLM, LiteLLM, Text Generation Inference и прокси-сервисы для OpenAI. Также уязвимость затрагивает платформы и MCP-серверы, через которые ИИ-агенты взаимодействуют с внешними сервисами и базами данных.