事件经过
Starlette 的主机验证可通过精心构造的 Host 头绕过。身份验证层从 request.url.path(从 Host 头重建)派生有效路由,但 FastAPI 基于不同的评估进行分发。这种不匹配允许攻击者到达应受保护的路由,特别是与 CVE-2026-42271 链接时。
影响分析
这影响了数百万个 AI 代理和 LLM 推理端点。绕过模型服务器或 AI 网关上的身份验证使攻击者可以直接访问模型 API、推理硬件和凭证存储。它实现了模型中毒、大规模提示注入和针对 AI 部署的供应链式攻击。
攻击途径
攻击者精心构造 HTTP Host 头,使身份验证层评估的路由与 FastAPI 实际分发的路由不同。这允许绕过身份验证检查并到达 AI 网关和模型服务器上的受保护管理端点。
受影响系统
Starlette 0.8.3 至 1.0.0;使用默认身份验证的 FastAPI 应用程序;vLLM 代理实例;所有基于 ASGI 的 AI 框架
缓解措施
将 Starlette 升级到 1.0.1 或更高版本。审计 Host 头解析并在 FastAPI/Starlette 配置中限制允许的主机。