X41 D-Sec ने इस हफ़्ते CVE-2026-48710 — branded BadHost — disclose किया, और dependency tree headline है। Starlette, ASGI implementation जो FastAPI को underpin करता है, बिना validation के invalid HTTP Host header values accept करता है, तो जो URL वो reconstruct करता है (middleware और `request.url.path` के द्वारा use होती है) actually routed path से अलग बनाई जा सकती है। Host header में एक single character injected करने से `request.url` check करने वाली किसी भी app में path-based authorization bypass होता है। Starlette हर हफ़्ते 32.5 करोड़ downloads ship करता है। Researchers द्वारा explicitly named affected packages: FastAPI, vLLM (जहाँ bug originally discovered हुआ), LiteLLM, Text Generation Inference, ज़्यादातर OpenAI-shim proxies, MCP servers, agent harnesses, eval dashboards, model-management UIs। CVSS 7/10 — Secwest note करता है कि वो rating real risk को "materially understates" करता है; X41 D-Sec critical rate करता है।
Exploit primitive trivial है। Starlette Host header + path से requested URL reconstruct करता है; routing actual HTTP path पर depend करती है; `request.url.path` reconstructed URL use करता है। जब authentication `request.url.path` पर gated होती है, दोनों inconsistent views attacker को authentication code को एक ऐसा route approve करने देती हैं जो उसे reach नहीं करना चाहिए। Auth bypass के अलावा, primitive SSRF (server-side request forgery) enable करता है और कुछ configurations में remote code execution। ज़्यादातर ऐसे systems के against काम करता है जो properly configured Host-header-filtering firewall के पीछे नहीं हैं। Scanner: X41 D-Sec और Nemesis ने mcp-scan.nemesis.services पर एक co-released किया जो किसी भी given server को check करता है। Fix है Starlette 1.0.1 (शुक्रवार को released) — हर downstream framework को bump करना होगा।
Initial scan से blast radius वो हिस्सा है जिसे builders को Monday से पहले पढ़ना चाहिए। X41 D-Sec ने live exposed instances ढूँढे जो span करते हैं: SSRF के साथ biopharma clinical-trial databases और M&A data; face analysis, KYB, PII और internal codebase access के साथ identity-verification stacks; SSH-via-bastion और remote code execution के साथ IoT/Industrial systems; पूरा mailbox read/send/delete और S3 export; candidate PII के साथ HR pipelines; subscriber lists और mass-email send/schedule के साथ CMS/marketing; scanned documents पर read/upload/modify के साथ document management; AWS topology और metric queries के साथ cloud monitoring; live Nuclei scanner access सहित cybersecurity tools; nutrition, expenses और subscriptions सहित personal health/finance data। MCP servers particularly valuable हैं क्योंकि वो agent जिस *हर* external system से wired है उसके लिए credentials रखते हैं — single breach, multi-system blast radius।
Monday सुबह: अगर तुम FastAPI, vLLM, LiteLLM, TGI, MCP server, या किसी भी OpenAI-shim proxy के ऊपर कुछ भी ship करते हो, immediately Starlette को 1.0.1+ पर pin करो। Patch path का shape है `pip install --upgrade starlette` (या तुम्हारा equivalent) के बाद service restart। आज रात सोने से पहले अपने endpoints के against mcp-scan.nemesis.services चलाओ — free है, single URL लेता है। अगर तुम्हारा agent infrastructure MCP servers को internet को expose करता है, credential vault layer अलग से audit करो: उन servers ने memory में जो भी credentials रखे थे, उन्हें किसी भी host पर potentially compromised consider करना चाहिए जो शुक्रवार के release और तुम्हारे patch के बीच vulnerable Starlette चला रहा था। आज सुबह की Anthropic Claude Mythos news के साथ pairing बड़ा सबक है — autonomous vuln-discovery LLMs OSS में 10K+ bugs ढूँढ रहे हैं, और एक single transitive-dependency CVE ने अभी dominant Python web framework use करने वाले हर agent harness को expose कर दिया। Patch cadence अब builder-survival skill है, ops chore नहीं।