Starlette开源框架中存在一个严重漏洞(CVE-2026-48710),该框架每周下载量达3.25亿次,可能使数百万AI代理和工具面临被攻击风险。这个名为BadHost的漏洞允许攻击者通过操纵HTTP Host头绕过基于路径的授权,可能泄露AI代理使用的MCP服务器中存储的敏感凭证。该漏洞影响包括FastAPI、vLLM和LiteLLM在内的多个广泛使用的软件包,目前Starlette 1.0.1版本已提供修复补丁。
背景
Starlette是一个广泛使用的ASGI框架,是许多Python网络应用和AI工具(包括FastAPI)的基础。该框架在AI开发中的流行性使得这个漏洞对AI代理生态系统的安全性构成特别关注。
- 来源
- Ars Technica
- 发布时间
- 2026年5月27日 03:50
- 评分
- 8.0 / 10