2026年6月1日,安全研究团队Secwest与X41 D-Sec联合披露了一个编号为CVE-2026-48710的高危认证绕过漏洞,因其被命名为"BadHost"。该漏洞存在于广泛使用的Python Web框架Starlette中——Starlette作为FastAPI、vLLM等大量AI基础设施项目的底层框架,全球周下载量高达3.25亿次。攻击者只需在HTTP Host头中插入一个特殊字符(如问号?、斜杠/或井号#),即可绕过路径级别的访问控制,直接访问本应受到保护的管理接口和敏感数据。
更令人担忧的是,该漏洞是在对vLLM(大模型推理服务框架)的源代码审计过程中被发现的。研究团队明确指出,"从Starlette的怪癖到LLM服务原语"的攻击路径并非理论推演,而是真实存在的发现路径。这意味着大量部署在内部网络或实验室环境中的AI Agent、MCP服务器、模型评估系统等,可能已暴露在BadHost攻击之下。
BadHost漏洞的根源并非单一代码层的缺陷,而是涉及ASGI服务器、Starlette框架和中间件三者之间信任关系的断裂。具体来说,Starlette在重构request.url时,直接拼接HTTP Host头与请求路径后重新解析,但并未对Host值进行RFC 9112/RFC 3986规范的格式校验。当Host头中包含?、/或#时,重新解析的结果会改变路径、查询参数和片段边界,导致request.url.path与实际路由路径不一致,从而绕过基于路径的认证检查。
研究人员用一个简单的curl命令演示了攻击效果:在正常请求中访问/admin路径返回403被拦截,而仅需在Host头末尾添加一个问号,同样的请求即可返回200成功访问管理界面。
虽然在CVSS评分中BadHost被评定为6.5分(中等风险),但研究人员强烈认为该评分严重低估了实际影响。X41的分析发现,多个流行的开源项目中存在基于request.url进行安全决策的中间件,通过这个单字符原语可进一步链式攻击出认证绕过、SSRF(服务端请求伪造)乃至远程代码执行。
特别值得关注的是,MCP(Model Context Protocol)服务器面临更高的风险——MCP规范要求强制暴露未经认证的OAuth发现端点,为攻击者提供了可靠的可利用路径。
目前受影响的系统包括:所有使用Starlette 1.0.1以下版本的Python Web应用(含FastAPI框架)、基于vLLM的AI推理服务、AI Agent编排平台、MCP服务器以及各类LLM网关。值得注意的是,AI相关服务往往部署在内部网络、实验室子网等缺乏反向代理保护的环境中,使其比传统生产系统面临更高的直接暴露风险。
修复方案已随Starlette 1.0.1版本发布,用户应立即执行升级。同时可在Nginx、API网关或CDN层对Host头进行严格校验,拦截包含特殊字符的请求。免费在线扫描工具badhost.org可帮助检测系统是否受影响。
对青海政企的建议:青海地区越来越多的政务系统和企业平台采用Python技术栈构建API服务,其中不少使用了FastAPI框架。建议青海本地IT运维团队立即开展以下工作:(1)排查Starlette版本,确保升级至1.0.1及以上;(2)检查Nginx/Apache反向代理配置,增加Host头校验规则;(3)对AI实验室和研究环境中的内部服务进行安全审计,防止攻击者利用内部网络直接访问未受保护的AI基础设施。鉴于青海正推进数字政务和智慧城市建设,此类基础框架漏洞的及时修补尤为重要。
© 2026 西宁惠康电子有限公司 | 青海·西宁