El fallo BadHost obliga a actualizar servicios que usan Starlette y FastAPI.
Una vulnerabilidad en Starlette ha mostrado cómo una pieza discreta de software abierto puede sostener gran parte de la infraestructura de inteligencia artificial. Este marco ASGI para Python, descargado unas 325 millones de veces por semana, sirve de base a FastAPI y a servicios que ejecutan modelos.
El fallo, llamado BadHost y registrado como CVE-2026-48710, afecta a las versiones anteriores a Starlette 1.0.1. Su gravedad alcanza a proyectos como vLLM, LiteLLM, servidores MCP, proxies compatibles con OpenAI y herramientas de gestión.
La causa está en cómo se reconstruye la URL cuando llega una cabecera HTTP Host manipulada. Con una cabecera malformada, una aplicación puede interpretar request.url.path como una ruta distinta de la solicitada. Si el control de acceso depende de ese valor, un atacante sin credenciales puede esquivar zonas privadas.
El riesgo es delicado en agentes de IA, porque los servidores MCP y otras pasarelas suelen conservar credenciales para conectarse a correos, calendarios, bases de datos, repositorios, servicios en la nube o sistemas internos. La exposición potencial incluye datos personales, información empresarial y recursos sensibles.
X41 D-Sec identificó la vulnerabilidad y colaboró con Nemesis en un escáner público. La mitigación pasa por actualizar a Starlette 1.0.1 o superior, revisar middleware de autenticación basado en rutas, preferir controles ligados al endpoint real y colocar proxies que normalicen cabeceras antes del servidor ASGI.
Basado en: Dan Goodin, Ars Technica