Миллионы ИИ-агентов могли оказаться под угрозой из-за уязвимости BadHost в Starlette
Настало время обновить Starlette до актуальной версии.
В популярном Python-фреймворке Starlette найдена уязвимость под названием BadHost, представляющая опасность для миллионов ИИ-агентов, MCP-серверов и инструментов для работы с большими языковыми моделями.
Starlette — один из ключевых компонентов современной Python-инфраструктуры. На нем основан FastAPI, а также множество проектов, которые используются для создания веб-сервисов, ИИ-инструментов, прокси для OpenAI-совместимых APU и так далее.
BadHost связана с обработкой HTTP-заголовка Host. Starlette восстанавливает URL запроса на основе этого заголовка и пути, но не проверяет корректность значения. По словам исследователей, уязвимость позволяет обходить механизмы авторизации и получать доступ к чувствительным данным.
Например, злоумышленник может внедрить в заголовок дополнительный символ или путь и добиться расхождения между фактическим маршрутом запроса и тем путем, который видит приложение через request.url.path. Если приложение использует этот путь для проверки прав доступа, то авторизацию можно обойти.
Теоретически успешная атака может дать доступ не только к самому серверу, но и к связанным аккаунтам в сторонних API или внутренним системам. В некоторых случаях атака может привести не только к обходу аутентификации, но и к удаленному выполнению кода.
Уязвимость исправлена в Starlette 1.0.1, пользователям фреймворка рекомендуется как можно быстрее установить новую версию.
- Получено $1.2 миллиона: сотрудника Google обвинили в инсайдерской торговле на Polymarket
- СМИ: SpaceX и Пентагон поспорили о цене военной версии Starlink для дронов-камикадзе
- Консоли Steam Deck резко подорожали
- Хидео Кодзима «сыграл» в ИИ-короткометражке Prada
- iPhone получит автоматическую блокировку в случае кражи

