技術的な説明
Starlette(FastAPI の基盤となる ASGI フレームワークであり、推移的には vLLM、LiteLLM、Text Generation Inference、MCP サーバー、およびほとんどの Python ベースの AI エージェント フレームワークの基盤)は、HTTP Host ヘッダーとリクエスト パスを連結してリクエスト URL を再構成する際に、Host 値を RFC 9112 文字制約に対して検証していません。URI 特殊文字(?、/、または #)を Host ヘッダーに挿入することで、攻撃者は request.url.path を実際の ASGI ルート パスと異なるものにし、パスベースのセキュリティ ミドルウェアを認証情報なしで完全にバイパスできます。'Host: foo?' を含む単一の curl コマンドで、通常の条件では正しく 403 を返すルートで 200 OK を返すことができます。公式の CVSS スコアは 6.5(中程度)ですが、X41 D-Sec と OSTIF のセキュリティ研究者は、AI インフラストラクチャ スタック全体における Starlette の浸透度を考慮すると、この評価が実世界の深刻度を過小評価していると公開で主張しています。
攻撃経路
リモート、認証なし。攻撃者は、不正形式の Host ヘッダー(例:'Host: legitimate-host.com?')を含む HTTP リクエストを、Starlette ベースのエンドポイントに送信します。ASGI サーバーはリクエストを通常どおりルーティングし、Starlette のミドルウェアは汚染された再解析 URL パスを評価して保護されたルート パターンとの一致に失敗し、リクエストをハンドラーに通します。生の TCP ソケットまたはカスタム Host ヘッダーを許可するツールが必要です(標準的な HTTP クライアントはヘッダーを正規化します)。
影響を受けるシステム
Starlette バージョン 0.8.3 から 1.0.0 までの全バージョン(パッチ前の全バージョン)。ダウンストリーム:FastAPI(パスベース認証に Starlette ミドルウェアを使用する全バージョン)、vLLM 推論サーバー、LiteLLM プロキシ ゲートウェイ、Text Generation Inference、OpenAI 互換 ASGI シム、FastAPI/Starlette 上に構築された MCP サーバー実装、および パスベースのアクセス制御を使用する AI エージェント ハーネス、ダッシュボード、モデル レジストリ。Cloudflare または AWS ALB の背後の展開は、これらのプロキシがデフォルトで不正形式の Host ヘッダーを拒否するため、部分的な緩和を受けます。
緩和策
1. 全ての直接および推移的な依存関係全体で Starlette 1.0.1 以降にアップグレードしてください。アップグレード後に全てのコンテナとベンダー化されたインストール環境を再構築してください。インプレース パッケージ更新は古いベンダー化されたコピーがアクティブなままになるためです。2. セキュリティ ミドルウェアでの request.url または request.url.path の使用を request.scope['path'] に置き換えてください。これは Host ヘッダーの内容の影響を受けない生の ASGI ワイヤー パスを返します。3. ASGI サービスが直接露出している場合は、その前に HTTP/1.1 準拠のリバース プロキシ(Nginx、Apache httpd、Cloudflare)を展開してください。X41 D-Sec は、脆弱なインストール環境を検出するための無料の Semgrep ルール、CodeQL クエリ、および badhost.org のリモート スキャナーを公開しています。