何が起きたか
CVE-2026-48710 (「BadHost」と呼ばれる) は Starlette (LiteLLM、vLLM、FastAPI、および多くの AI ウェブサービスの基盤となる ASGI フレームワーク) のホストヘッダー検証脆弱性です。不正な形式のホストヘッダー値を挿入することで、攻撃者は Starlette のパスベース認証ミドルウェアに、有効パスをパブリックルートルートとして計算させながら、管理エンドポイントへのルーティングを行い、認証をバイパスできます。Horizon3.ai は、LiteLLM に対する完全な認証なし RCE チェーン (CVE-2026-42271 と組み合わせ) を実証しました。CSO Online は、vLLM を含む FastAPI ベースの AI ツールへの脆弱性の波及を報告しました。
なぜ重要か
vLLM は、エンタープライズおよびクラウド AI デプロイで使用される優位なオープンソース LLM 推論サーバーです。任意の Starlette アプリケーションに対して機能するパスベース認証バイパスは、広範なデプロイ全体の AI 推論エンドポイント、モデル管理 API、および管理インターフェースが認証なしでアクセス可能である可能性があることを意味します。コマンドインジェクションまたはデシリアライゼーション脆弱性と組み合わせると、モデルサービングインフラストラクチャ上での認証なし RCE が発生します。
攻撃経路
攻撃者は HTTP ホストヘッダーに特殊文字 (? または #) を追加します。Starlette のパス計算は、リクエストが「/」 (パブリックルート) をターゲットにしているものとして扱われますが、ルーターは依然として実際に要求されたエンドポイントにディスパッチします。パスベース認証ミドルウェアは計算された (パブリック) パスをチェックしアクセスを許可します。LiteLLM の CVE-2026-42271 と組み合わせると、認証なし RCE が発生します。独立して、影響を受ける ASGI アプリ内の任意の制限されたエンドポイントへの認証なしアクセスを許可します。
影響を受けるシステム
Starlette 0.8.3 – 1.0.0; LiteLLM、vLLM、FastAPI ベースの AI 推論サーバー、およびパスベース認証ミドルウェアを使用する任意の ASGI アプリに影響します
緩和策
Starlette を ≥1.0.1 にアップグレードしてください。すべての FastAPI/Starlette ベースの AI サービスについて、パスベース認証パターンを監査し、デコレーターベースのルート単位認証への切り替えを検討してください。