El fallo BadHost obliga a actualizar servicios que usan Starlette y FastAPI.
Un fallo de seguridad ha puesto en alerta a muchos servicios de inteligencia artificial. El problema está en Starlette, una herramienta abierta de Python. Sirve para crear páginas y servicios web rápidos. También es la base de FastAPI, que usan muchos programas modernos.
El fallo se llama BadHost y tiene el código CVE-2026-48710. Afecta a las versiones de Starlette anteriores a la 1.0.1. Starlette se descarga unas 325 millones de veces cada semana, por eso el problema puede llegar a muchos proyectos.
Un atacante puede enviar una petición web con un dato falso en la cabecera Host. Con ese truco, algunas aplicaciones pueden mirar una ruta equivocada y dejar pasar a una persona sin permiso. El riesgo es mayor cuando el sistema protege partes diferentes según la ruta.
Los servicios de IA pueden guardar claves para entrar en correos, calendarios, bases de datos o herramientas de empresa. Por eso los servidores MCP, vLLM, LiteLLM y otros sistemas parecidos son objetivos importantes.
La versión 1.0.1 de Starlette corrige el fallo. Los equipos técnicos deben actualizar, revisar sus servidores y usar un escáner si tienen dudas. También ayuda poner un proxy bien configurado delante del servicio.
Basado en: Dan Goodin, Ars Technica