X41 D-Sec 本週揭露了 CVE-2026-48710——品牌名 BadHost——而相依樹就是頭條。Starlette 是支撐 FastAPI 的 ASGI 實作,它接受無效的 HTTP Host 標頭值而不驗證,所以它重建的 URL(被中介軟體和 `request.url.path` 使用)可以被構造成與實際路由的路徑不同。在 Host 標頭注入一個字元即可繞過任何檢查 `request.url` 的應用中的基於路徑的授權。Starlette 每週下載 3.25 億次。研究者明確點名的受影響套件:FastAPI、vLLM(bug 最初在此發現)、LiteLLM、Text Generation Inference、大多數 OpenAI-shim 代理、MCP 伺服器、agent 套件、eval 儀表板、模型管理 UI。CVSS 7/10——Secwest 指出該評級「實質性低估」了真實風險;X41 D-Sec 將其評為關鍵。
漏洞利用原語很簡單。Starlette 從 Host 標頭 + 路徑重建請求的 URL;路由依賴實際 HTTP 路徑;`request.url.path` 使用重建的 URL。當驗證基於 `request.url.path` 時,這兩個不一致的視圖讓攻擊者獲得驗證程式碼批准一個本不該到達的路由。除了驗證繞過,這個原語還啟用 SSRF(伺服器端請求偽造),在某些設定下還啟用遠端程式碼執行。在大多數未在正確設定的 Host 標頭過濾防火牆之後的系統上有效。掃描器:X41 D-Sec 和 Nemesis 在 mcp-scan.nemesis.services 聯合發布了一個,可以檢查任何給定的伺服器。修復是 Starlette 1.0.1(週五發布)——每個下游框架都需要升級。
初始掃描的爆炸半徑是 builder 在週一之前應該讀的部分。X41 D-Sec 發現的即時暴露實例涵蓋:帶 SSRF 的生物製藥臨床試驗資料庫和 M&A 資料;帶面部分析、KYB、PII 和內部程式碼庫存取的身分驗證棧;帶透過 bastion 的 SSH 和遠端程式碼執行的 IoT/工業系統;完整的信箱讀取/傳送/刪除和 S3 匯出;帶候選人 PII 的 HR 管線;帶訂閱者列表和大規模郵件傳送/排程的 CMS/行銷;帶讀取/上傳/修改掃描文件的文件管理;帶 AWS 拓樸和指標查詢的雲端監控;包括即時 Nuclei 掃描器存取的網路安全工具;包括營養、開支和訂閱的個人健康/財務資料。MCP 伺服器特別有價值,因為它們持有 agent 連接到的*每一個*外部系統的憑證——單點入侵,多系統爆炸半徑。
週一早上:如果你在 FastAPI、vLLM、LiteLLM、TGI、MCP 伺服器或任何 OpenAI-shim 代理之上 ship 任何東西,立即將 Starlette 固定到 1.0.1+。補丁路徑的形狀是 `pip install --upgrade starlette`(或你的等價物),然後重啟服務。今晚睡覺前對你的端點執行 mcp-scan.nemesis.services——免費,只需一個 URL。如果你的 agent 基礎建設將 MCP 伺服器暴露到網際網路,單獨稽核憑證 vault 層:這些伺服器在記憶體中持有的任何憑證都應被視為在週五發布與你的補丁之間執行了易受攻擊的 Starlette 的任何主機上可能被洩露。與今早 Anthropic Claude Mythos 新聞的配對是更大的教訓——自主漏洞發現 LLM 在 OSS 中發現 10K+ 個 bug,而一個傳遞相依 CVE 剛剛暴露了使用主導 Python web 框架的每個 agent 套件。補丁節奏現在是 builder 生存技能,而不是維運瑣事。