الإجاباتمنشور28 المصادر
ثغرة 'BadHost': حرف واحد في ترويسة HTTP يتجاوز كل تأمين المسارات في ملايين وكلاء الذكاء الاصطناعي
إدراج رمز واحد خبيث في ترويسة 'Host' لطلب HTTP يمكّن المخترقين غير المصرح لهم من تجاوز كافة فحوصات التفويض المبنية على المسار في إطار Starlette، مما يؤثر بشكل بالغ الخطورة على FastAPI وvLLM وLiteLLM وخوادم MCP. بينما يُصنف التقييم الرسمي CVSS v3.1 الثغرة على أنها 'متوسطة' بدرجة 6.5، يجادل باحثو X41 D Sec وSecwest بأ...
377K0
موجّه الذكاء الاصطناعي
openai.comCreate a landscape editorial hero image for this Studio Global article: What is the CVE-2026-48710 "BadHost" vulnerability in the Starlette web framework, how does it allow attackers to bypass path-based authoriz. Article summary: ## Overview. Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "A critical vulnerability tracked as **CVE-2026-48710** and nicknamed "BadHost" was disclosed in the **Starlette** ASGI framework, affecting all versions prior to **1.0.1**, sources" source context "Starlette Vulnerability Exposes AI Agent Endpoints | Let's Data Science" Reference image 2: visual subject "# Critical 'BadHost' Flaw in Starlette Exposes Millions of AI Agent Deployments to Auth Bypass. * CVE-2026-48710 ('BadHost') allows unauthenticated attackers to bypass path-based a" source context "Critical 'BadHost'
تم الكشف حديثًا عن ثغرة أمنية خطيرة في إطار العمل ASGI المسمى Starlette، تسمح للمهاجمين بتجاوز كافة إجراءات التحقق من التفويض المعتمدة على المسار (Path-Based Authorization) في ملايين من خوادم ووكلاء الذكاء الاصطناعي عبر الإنترنت. الثغرة المسماة CVE-2026-48710 وتُعرف اختصارًا بـ 'BadHost'، اكتشفها فريق X41 D-Sec أثناء تدقيق أمني ممول من OSTIF على مشروع vLLM، وتكمن خطورتها في بساطتها المُخيفة: لا تتطلب سوى التلاعب بحرف واحد في ترويسة HTTP تُسمى Host .
لا تقتصر هذه الثغرة على تطبيق واحد، بل تطال الأساس الذي تقوم عليه أغلب البنى التحتية الحديثة للذكاء الاصطناعي المبنية بلغة Python. أي خدمة تعتمد على إطار FastAPI، أو محركات الاستدلال الضخمة مثل vLLM، أو طبقات تنسيق واجهات برمجة التطبيقات مثل LiteLLM، أو حتى خوادم بروتوكول سياق النموذج (MCP) التي تُشغّل أدوات وكلاء AI، كلها معرضة للخطر .
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
يسأل الناس أيضا
ما هي الإجابة المختصرة على "ثغرة 'BadHost': حرف واحد في ترويسة HTTP يتجاوز كل تأمين المسارات في ملايين وكلاء الذكاء الاصطناعي"؟
إدراج رمز واحد خبيث في ترويسة 'Host' لطلب HTTP يمكّن المخترقين غير المصرح لهم من تجاوز كافة فحوصات التفويض المبنية على المسار في إطار Starlette، مما يؤثر بشكل بالغ الخطورة على FastAPI وvLLM وLiteLLM وخوادم MCP.
ما هي النقاط الأساسية التي يجب التحقق منها أولاً؟
إدراج رمز واحد خبيث في ترويسة 'Host' لطلب HTTP يمكّن المخترقين غير المصرح لهم من تجاوز كافة فحوصات التفويض المبنية على المسار في إطار Starlette، مما يؤثر بشكل بالغ الخطورة على FastAPI وvLLM وLiteLLM وخوادم MCP. بينما يُصنف التقييم الرسمي CVSS v3.1 الثغرة على أنها 'متوسطة' بدرجة 6.5، يجادل باحثو X41 D Sec وSecwest بأن هذا يُقلل بشدة من حجم الخطر، معتبرين أنها توفر بوابة غير مصرح بها لأنظمة الذكاء الاصطناعي الداخلية وتستحق تصن...
ماذا يجب أن أفعل بعد ذلك في الممارسة العملية؟
الحل هو الترقية الفورية إلى الإصدار Starlette 1.0.1، الذي يُدقق ترويسة 'Host' وفق معايير RFC ويعالج الخلل الجذري.
المصادر
- gigazine.netA vulnerability in the open-source package 'Starlette, ...
- cyberkendra.comBadHost (CVE-2026-48710): One Rogue Header Line ...
- cyber-defence.ioCVE-2026-48710 - Vulnerability Database - Cyber Defence
- app.daily.devMillions of AI agents imperiled by critical...
- security-tracker.debian.orgCVE-2026-48710 - Debian Security Tracker
- tenable.comCVE-2026-48710 | Tenable®
Loading comments...
Comments
0 comments