Starlette Web框架中发现了一个严重的安全漏洞(CVE-2026-48710),影响1.0.1之前的版本,攻击者可通过操纵Host标头绕过基于路径的身份验证。该漏洞影响了数千个使用Starlette和FastAPI构建的应用程序,包括vLLM、LiteLLM和MCP服务器等主要AI基础设施。建议用户升级至Starlette 1.0.1+版本,并避免使用基于路径的认证中间件,转而采用基于端点的认证方式。
背景
Starlette是一个流行的Python ASGI Web框架,常用作FastAPI和许多AI/ML服务框架的基础。基于路径的身份验证中间件是Web应用程序中用于限制对特定URL路径访问的常见模式。
- 来源
- Lobsters
- 发布时间
- 2026年5月27日 15:32
- 评分
- 9.0 / 10