उत्तरप्रकाशित28 स्रोत
CVE-2026-48710 'BadHost': एक ही हेरफेर किया गया Host हेडर लाखों AI एजेंटों के पाथ-आधारित प्रमाणीकरण को चकमा दे सकता है
HTTP Host हेडर में एक खास अक्षर डालकर, कोई भी अनधिकृत हमलावर Starlette के सभी पाथ आधारित प्रमाणीकरण को बायपास कर सकता है। इसका असर FastAPI, vLLM, LiteLLM और MCP सर्वरों पर पड़ता है, जिन पर लाखों AI एजेंट निर्भर हैं। आधिकारिक CVSS v3.1 स्कोर ने इसे 6.5 (मध्यम) गंभीरता का बताया है, लेकिन X41 D Sec और Secwest जैसी सुरक...
510K0
AI संकेत
openai.comCreate a landscape editorial hero image for this Studio Global article: What is the CVE-2026-48710 "BadHost" vulnerability in the Starlette web framework, how does it allow attackers to bypass path-based authoriz. Article summary: ## Overview. Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "A critical vulnerability tracked as **CVE-2026-48710** and nicknamed "BadHost" was disclosed in the **Starlette** ASGI framework, affecting all versions prior to **1.0.1**, sources" source context "Starlette Vulnerability Exposes AI Agent Endpoints | Let's Data Science" Reference image 2: visual subject "# Critical 'BadHost' Flaw in Starlette Exposes Millions of AI Agent Deployments to Auth Bypass. * CVE-2026-48710 ('BadHost') allows unauthenticated attackers to bypass path-based a" source context "Critical 'BadHost'
Python के आधुनिक AI इंफ्रास्ट्रक्चर की नींव में एक ऐसी खामी सामने आई है, जिसके लिए किसी पासवर्ड या क्रेडेंशियल की जरूरत नहीं—बस एक हेरफेर किया गया अक्षर ही काफी है। CVE-2026-48710 के रूप में ट्रैक की गई और "BadHost" नाम दी गई इस भेद्यता ने Starlette ASGI फ्रेमवर्क को प्रभावित किया है, जो FastAPI, vLLM, LiteLLM और MCP (मॉडल कॉन्टेक्स्ट प्रोटोकॉल) सर्वरों जैसे अहम AI टूल्स का आधार है। यह हमलावरों को बिना किसी रोक-टोक के सुरक्षित संसाधनों तक पहुंचने की अनुमति देता है ।
X41 D-Sec ने इस भेद्यता को vLLM के OSTIF-वित्तपोषित सुरक्षा ऑडिट के दौरान खोजा। इसकी जड़ में एक साधारण लेकिन गहरी चूक है: Starlette, request.url ऑब्जेक्ट का पुनर्निर्माण करते समय, हमलावर द्वारा नियंत्रित Host हेडर को बिना जांचे-परखे इस्तेमाल कर लेता है। फ्रेमवर्क का राउटिंग इंजन जहां अनुरोध को उसके मूल HTTP पथ पर भेजता है, वहीं प्रमाणीकरण मिडलवेयर अक्सर पुनर्निर्मित URL से request.url.path पढ़ता है। यह असंगति एक बड़ा सुरक्षा छेद खोल देती है ।
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
लोग पूछते भी हैं
"CVE-2026-48710 'BadHost': एक ही हेरफेर किया गया Host हेडर लाखों AI एजेंटों के पाथ-आधारित प्रमाणीकरण को चकमा दे सकता है" का संक्षिप्त उत्तर क्या है?
HTTP Host हेडर में एक खास अक्षर डालकर, कोई भी अनधिकृत हमलावर Starlette के सभी पाथ आधारित प्रमाणीकरण को बायपास कर सकता है। इसका असर FastAPI, vLLM, LiteLLM और MCP सर्वरों पर पड़ता है, जिन पर लाखों AI एजेंट निर्भर हैं।
सबसे पहले सत्यापित करने योग्य मुख्य बिंदु क्या हैं?
HTTP Host हेडर में एक खास अक्षर डालकर, कोई भी अनधिकृत हमलावर Starlette के सभी पाथ आधारित प्रमाणीकरण को बायपास कर सकता है। इसका असर FastAPI, vLLM, LiteLLM और MCP सर्वरों पर पड़ता है, जिन पर लाखों AI एजेंट निर्भर हैं। आधिकारिक CVSS v3.1 स्कोर ने इसे 6.5 (मध्यम) गंभीरता का बताया है, लेकिन X41 D Sec और Secwest जैसी सुरक्षा कंपनियों का तर्क है कि यह जोखिम को बहुत कम आंकता है। यह एक ऐसा अनधिकृत प्रवेश द्वार है जो संवेदनशील डेटा और क्रे...
मुझे अभ्यास में आगे क्या करना चाहिए?
इसका समाधान Starlette 1.0.1 है, जो अब RFC मानकों के अनुसार Host हेडर को मान्य करता है। सभी संगठनों को तुरंत अपडेट करना चाहिए।
सूत्र
- gigazine.netA vulnerability in the open-source package 'Starlette, ...
- cyberkendra.comBadHost (CVE-2026-48710): One Rogue Header Line ...
- cyber-defence.ioCVE-2026-48710 - Vulnerability Database - Cyber Defence
- security-tracker.debian.orgCVE-2026-48710 - Debian Security Tracker
- tenable.comCVE-2026-48710 | Tenable®
- osv.devPYSEC-2026-161 - OSV
Loading comments...
Comments
0 comments