Vulnerabilidade BadHost no Framework Starlette Ameaça Agentes de IA
Uma vulnerabilidade crítica, apelidada de BadHost, foi descoberta no framework Starlette, afetando milhões de servidores e ferramentas de IA. A falha, explorável com um único caractere no cabeçalho HTTP Host, pode levar a bypasses de autenticação, ataques SSRF e execução remota de código.
MundiX News·27 de maio de 2026·3 min de leitura·👁 15 views
Pesquisadores alertam sobre uma vulnerabilidade crítica, CVE-2026-48710, descoberta no framework de código aberto Starlette, denominada BadHost. Como o Starlette é a base do FastAPI e de inúmeras ferramentas populares de IA, o problema representa riscos para milhões de servidores e agentes de IA, com a exploração da falha resumindo-se a um único caractere no cabeçalho HTTP Host.
Starlette é uma implementação de ASGI (Asynchronous Server Gateway Interface), usada para lidar com um grande número de solicitações simultâneas. De acordo com os desenvolvedores do projeto, o pacote é baixado cerca de 325 milhões de vezes por semana.
O problema foi descoberto por especialistas da X41 D-Sec, e os pesquisadores da Secwest o batizaram de BadHost. Embora a vulnerabilidade tenha recebido apenas 7 pontos na escala CVSS, os especialistas consideram essa avaliação subestimada e chamam o problema de crítico. Além do FastAPI, a vulnerabilidade afeta vLLM, LiteLLM, servidores MCP, proxies compatíveis com OpenAI, vários ambientes de execução de agentes de IA, painéis de avaliação de modelos e outras ferramentas do ecossistema de IA.
A vulnerabilidade está relacionada à forma como o Starlette, antes da versão 1.0.1, coleta o objeto request.url. O framework pega o valor do cabeçalho HTTP Host, adiciona o caminho da solicitação a ele e não verifica se o próprio Host é válido. Devido a isso, um invasor pode passar não apenas o domínio, mas também um fragmento do caminho no Host.
Por exemplo, a solicitação pode ir para o endpoint protegido /protected, mas devido a um cabeçalho como Host: example.com/health?x=, o Starlette construirá a URL de tal forma que request.url.path parecerá /health. Ao mesmo tempo, o roteamento ainda funcionará no caminho HTTP real — /protected. Se o aplicativo ou middleware tomar decisões de autorização com base em request.url.path, e não por meio de scope["path"], a verificação pode "ver" um caminho supostamente seguro e ignorar a solicitação. Como resultado, um invasor poderá contornar o mecanismo de autorização que se baseia no caminho da solicitação.
De acordo com os pesquisadores, a vulnerabilidade permite contornar a autenticação, realizar ataques SSRF e, em alguns casos, pode até levar à execução remota de código. Os especialistas consideram a situação com os servidores MCP (Model Context Protocol) particularmente perigosa, pois eles dão aos agentes de IA acesso a sistemas externos: e-mail, calendários, serviços corporativos, armazenamento em nuvem e bancos de dados internos. Esses servidores geralmente armazenam chaves de API, tokens e credenciais para serviços de terceiros, tornando-os um alvo extremamente atraente para invasores.
O pesquisador da X41 D-Sec, Markus Vervier, relatou à mídia que, durante a varredura de sistemas vulneráveis, já foi possível detectar acesso a uma ampla variedade de dados e infraestruturas. Entre eles:
Bancos de dados clínicos e documentos de fusões e aquisições de empresas biofarmacêuticas;
Sistemas de verificação de identidade com PII e bases de código;
Sistemas de IoT e industriais com acesso SSH;
Serviços de e-mail e plataformas SaaS;
Sistemas de RH com dados pessoais de candidatos;
Plataformas de monitoramento em nuvem com dados da AWS;
Sistemas de gerenciamento de documentos;
Infraestrutura de segurança da informação com acesso a scanners Nuclei e registros de ativos.
Todas as versões do Starlette anteriores a 1.0.1, nas quais os desenvolvedores adicionaram uma verificação de cabeçalhos Host incorretos, são consideradas vulneráveis. A X41 D-Sec, juntamente com especialistas da empresa Nemesis, já lançou um scanner online para verificar servidores quanto à vulnerabilidade ao problema BadHost. Os pesquisadores recomendam atualizar urgentemente o Starlette, e os proprietários de infraestruturas FastAPI, LiteLLM e vLLM devem verificar seus sistemas em busca de componentes vulneráveis.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Pesquisadores alertam sobre uma vulnerabilidade crítica, CVE-2026-48710, descoberta no framework de código aberto Starlette, denominada BadHost. Como o Starlette é a base do FastAPI e de inúmeras ferramentas populares de IA, o problema representa riscos para milhões de servidores e agentes de IA, com a exploração da falha resumindo-se a um único caractere no cabeçalho HTTP Host.
Starlette é uma implementação de ASGI (Asynchronous Server Gateway Interface), usada para lidar com um grande número de solicitações simultâneas. De acordo com os desenvolvedores do projeto, o pacote é baixado cerca de 325 milhões de vezes por semana.
O problema foi descoberto por especialistas da X41 D-Sec, e os pesquisadores da Secwest o batizaram de BadHost. Embora a vulnerabilidade tenha recebido apenas 7 pontos na escala CVSS, os especialistas consideram essa avaliação subestimada e chamam o problema de crítico. Além do FastAPI, a vulnerabilidade afeta vLLM, LiteLLM, servidores MCP, proxies compatíveis com OpenAI, vários ambientes de execução de agentes de IA, painéis de avaliação de modelos e outras ferramentas do ecossistema de IA.
A vulnerabilidade está relacionada à forma como o Starlette, antes da versão 1.0.1, coleta o objeto request.url. O framework pega o valor do cabeçalho HTTP Host, adiciona o caminho da solicitação a ele e não verifica se o próprio Host é válido. Devido a isso, um invasor pode passar não apenas o domínio, mas também um fragmento do caminho no Host.
Por exemplo, a solicitação pode ir para o endpoint protegido /protected, mas devido a um cabeçalho como Host: example.com/health?x=, o Starlette construirá a URL de tal forma que request.url.path parecerá /health. Ao mesmo tempo, o roteamento ainda funcionará no caminho HTTP real — /protected. Se o aplicativo ou middleware tomar decisões de autorização com base em request.url.path, e não por meio de scope["path"], a verificação pode "ver" um caminho supostamente seguro e ignorar a solicitação. Como resultado, um invasor poderá contornar o mecanismo de autorização que se baseia no caminho da solicitação.
De acordo com os pesquisadores, a vulnerabilidade permite contornar a autenticação, realizar ataques SSRF e, em alguns casos, pode até levar à execução remota de código. Os especialistas consideram a situação com os servidores MCP (Model Context Protocol) particularmente perigosa, pois eles dão aos agentes de IA acesso a sistemas externos: e-mail, calendários, serviços corporativos, armazenamento em nuvem e bancos de dados internos. Esses servidores geralmente armazenam chaves de API, tokens e credenciais para serviços de terceiros, tornando-os um alvo extremamente atraente para invasores.
O pesquisador da X41 D-Sec, Markus Vervier, relatou à mídia que, durante a varredura de sistemas vulneráveis, já foi possível detectar acesso a uma ampla variedade de dados e infraestruturas. Entre eles:
Bancos de dados clínicos e documentos de fusões e aquisições de empresas biofarmacêuticas;
Sistemas de verificação de identidade com PII e bases de código;
Sistemas de IoT e industriais com acesso SSH;
Serviços de e-mail e plataformas SaaS;
Sistemas de RH com dados pessoais de candidatos;
Plataformas de monitoramento em nuvem com dados da AWS;
Sistemas de gerenciamento de documentos;
Infraestrutura de segurança da informação com acesso a scanners Nuclei e registros de ativos.
Todas as versões do Starlette anteriores a 1.0.1, nas quais os desenvolvedores adicionaram uma verificação de cabeçalhos Host incorretos, são consideradas vulneráveis. A X41 D-Sec, juntamente com especialistas da empresa Nemesis, já lançou um scanner online para verificar servidores quanto à vulnerabilidade ao problema BadHost. Os pesquisadores recomendam atualizar urgentemente o Starlette, e os proprietários de infraestruturas FastAPI, LiteLLM e vLLM devem verificar seus sistemas em busca de componentes vulneráveis.
📤 Compartilhar & Baixar
📩 Newsletter MundiX
Receba novidades de cibersegurança + um checklist de pentest grátis. Sem spam.
Ao assinar você concorda em receber e-mails. Cancele quando quiser.
