CVE-2026-48710 ‘BadHost’: Satu Karakter di Host Header Bisa Bypass Otentikasi Jutaan Agen AI

Bagaimana Eksploitasi BadHost Bekerja

Logika rekonstruksi URL Starlette menciptakan ketidakcocokan berbahaya antara path yang di-routing dan path yang diotorisasi. Ketika permintaan HTTP tiba, router secara tepat mengidentifikasi endpoint target dari baris permintaan mentah. Namun, ketika aplikasi kemudian memeriksa request.url untuk memutuskan apakah pengguna memiliki otorisasi, Starlette membangun ulang URL itu dengan menggabungkan header Host dengan path permintaan dan mengurai ulang hasilnya .

Seorang penyerang dapat mengeksploitasi ini dengan mengirim permintaan ke endpoint yang dilindungi seperti /admin/secure dengan header Host yang telah diracuni secara cermat, misalnya:

Router akan mengarahkan permintaan dengan benar ke handler /admin/secure—tetapi ketika middleware otorisasi memeriksa request.url.path, ia akan melihat /health. Jika middleware tersebut menggunakan daftar izin yang mempercayai /health sebagai endpoint health-check publik, penyerang akan lolos. Pemeriksaan otorisasi dilewati secara diam-diam; tanpa token, tanpa kata sandi, tanpa interaksi pengguna .

Advisory X41 D-Sec mengonfirmasi kesederhanaan yang mengejutkan: "Cukup dengan menyisipkan satu karakter ke header HTTP Host sudah cukup untuk mengelabui server" . Karakter spesifik yang memicu kebingungan termasuk garis miring (/), tanda tanya (?), dan simbol pagar (#)—pembatas URL standar yang tidak pernah divalidasi oleh Starlette .

Radius Ledakan yang Masif di Infrastruktur Agen AI

Jangkauan kerentanan ini sangat mengejutkan. Starlette adalah mesin tersembunyi di balik hampir setiap alat orkestrasi dan penyajian AI berbasis Python utama, diunduh sekitar 325 juta kali per minggu . Semua proyek turunan yang mengonsumsi Starlette sebelum versi 1.0.1 akan terpengaruh:

• FastAPI: Framework web Python modern paling populer untuk membangun API penyajian model AI dan backend agen .
• vLLM: Mesin inferensi LLM throughput tinggi yang dikerahkan dalam produksi di berbagai penyedia AI besar, yang secara spesifik menjadi target audit yang menemukan BadHost .
• LiteLLM: Proxy API LLM dan lapisan orkestrasi yang mengelola kunci API, batas laju, dan akses model di berbagai penyedia .
• Server MCP: Lapisan infrastruktur untuk pipeline penggunaan alat oleh agen AI, di mana bypass otentikasi dapat membocorkan kredensial alat sensitif dan konteks eksekusi .

Versi yang terpengaruh mencakup Starlette >= 0.8.3 hingga < 1.0.1, yang berarti sistem yang telah menjalankan rilis stabil selama bertahun-tahun semuanya berpotensi rentan .

Kontroversi Skor CVSS: Mengapa Peneliti Menyebut 6.5 Itu Menyesatkan

Peringkat keparahan resmi untuk CVE-2026-48710 telah memicu ketidaksepakatan signifikan dalam komunitas keamanan:

• Skor CVSS v3.1 Resmi NVD: 6.5 (Medium) — Vektor CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N memperlakukan dampak pada kerahasiaan dan integritas sebagai "Low" (Rendah), membatasi ruang lingkup ke "Unchanged" (Tidak Berubah), dan melaporkan tidak ada dampak ketersediaan .
• Skor CVSS v4.0 X41 D-Sec: 7.0 (High) — Vektor

  CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:N/VA:N/SC:H/SI:H/SA:N

  dari para penemu menggeser ruang lingkup ke "Changed" (Berubah) dengan dampak tambahan "High" pada kerahasiaan dan integritas, lebih tepat menggambarkan eskalasi hak istimewa lintas-batas yang terjadi dalam arsitektur agen AI .
• Karakterisasi Keparahan Secwest: Critical (Kritis) — Perusahaan riset independen ini melabeli BadHost sebagai "Kritis", dengan menyatakan bahwa skor resmi "secara material meremehkan dampak hilir" .

Tiga faktor mendasari argumen peneliti bahwa skor 6.5 sangat rendah:

1. Batasan ruang lingkup rusak di infrastruktur AI. Ruang lingkup "Unchanged" di CVSS v3.1 mengasumsikan penyerang beroperasi dalam satu domain keamanan . Dalam praktiknya, BadHost sepenuhnya melintasi batas kepercayaan: aktor eksternal tanpa otentikasi memperoleh kemampuan untuk memanggil endpoint internal yang dilindungi path yang berinteraksi dengan bobot model, alat agen, dan pipeline data—dampak ruang lingkup tambahan seperti buku teks yang akhirnya ditangkap oleh metrik SC:H/SI:H dari CVSS v4.0 .
2. Dampaknya "High", bukan "Low." Peringkat kerahasiaan dan integritas rendah menunjukkan bahwa hanya data terbatas yang terekspos. Namun, eksploitasi yang berhasil memberikan akses tak terbatas ke semua yang ada di balik path target: kredensial server MCP yang tersimpan, riwayat obrolan, kunci API orkestrasi, dan berpotensi perintah control-plane. Ini merupakan pelanggaran penuh data sensitif untuk setiap penerapan agen AI yang menggunakan otorisasi berbasis path .
3. Label "Medium" mendorong siklus penambalan yang lambat. Organisasi sering memprioritaskan CVE "High" atau "Critical" untuk remediasi segera, meninggalkan kelemahan "Medium" untuk dijadwalkan di jendela pemeliharaan berikutnya. Mengingat kemudahan eksploitasi BadHost dan permukaan serangan yang sangat besar, melabelinya sebagai "Medium" bertentangan dengan urgensi yang diyakini para peneliti sebagai hal yang perlu .

Perbaikannya: Tingkatkan ke Starlette 1.0.1

Starlette versi 1.0.1, dirilis pada 22 Mei 2026, berisi tambalan definitif. Perbaikan ini dilacak dalam GitHub Security Advisory GHSA-86qp-5c8j-p5mr dan advisory X41 X41-2026-002 .

Tambalan menerapkan dua perlindungan inti:

1. Validasi header Host: Header Host sekarang divalidasi berdasarkan tata bahasa yang ditentukan dalam RFC 9112 §3.2 dan RFC 3986 §3.2.2 sebelum digunakan untuk membangun request.url .
2. Fallback aman: Ketika header Host yang cacat terdeteksi, Starlette akan kembali ke scope["server"]—tuple koneksi server yang sebenarnya—bukan nilai yang diberikan oleh penyerang. Hasilnya, request.url.path secara konsisten mencerminkan path yang di-routing sebenarnya .

Proyek FastAPI telah mengonfirmasi bahwa perbaikan tersebut efektif dan merekomendasikan untuk segera meningkatkan starlette ke >=1.0.1 .

Mitigasi yang Diperlukan untuk Organisasi

Memperbarui paket Starlette adalah langkah pertama yang esensial, tetapi pertahanan yang komprehensif memerlukan beberapa lapisan:

1. Segera tambal. Di setiap lingkungan virtual, citra kontainer, dan pipeline penerapan yang menjalankan infrastruktur AI, jalankan:

   pip install --upgrade starlette

   Mulai ulang semua layanan yang terpengaruh. Ini berlaku untuk instalasi Starlette langsung serta instans FastAPI, vLLM, LiteLLM, dan server MCP .

2. Audit dan kunci dependensi. FastAPI dan framework lain mungkin tidak secara otomatis menegakkan versi minimum Starlette. Secara eksplisit minta starlette>=1.0.1 di requirements.txt, pyproject.toml, poetry.lock, atau file kunci setara. Jalankan

   pip list | grep starlette

   di semua lingkungan untuk mengidentifikasi instalasi yang kedaluwarsa .

3. Pindai setiap komponen di tumpukan AI. Setiap layanan Python yang menyajikan HTTP—aplikasi FastAPI kustom, endpoint inferensi LLM, pesawat orkestrasi agen, panel evaluasi model, dan proxy yang kompatibel dengan OpenAI—mungkin menyematkan versi Starlette yang rentan. Lakukan audit infrastruktur penuh .

4. Perkuat reverse proxy dan WAF. Konfigurasikan nginx, Envoy, HAProxy, Cloudflare, atau AWS ALB untuk menolak atau membersihkan header Host yang cacat sebelum meneruskan lalu lintas ke aplikasi Python. Ini memberikan pertahanan berlapis yang memblokir eksploitasi bahkan jika penambalan aplikasi tertunda .

5. Tulis ulang pemeriksaan keamanan path agar tidak bergantung pada request.url.path. Akar masalahnya adalah ketidakcocokan antara path routing dan request.url.path. Di mana pun memungkinkan, alihkan middleware otorisasi untuk menggunakan request.scope["path"], yang berasal dari cakupan ASGI mentah dan tidak dapat diracuni oleh header Host . X41 D-Sec merekomendasikan untuk sepenuhnya menghindari otorisasi berbasis path demi mekanisme otentikasi intrinsik endpoint .

6. Uji keterpaparan. Sebuah pemindai online telah dirilis untuk membantu organisasi memverifikasi apakah server mereka rentan . Dikombinasikan dengan pengujian penetrasi menyeluruh terhadap batasan otentikasi, ini dapat mengungkap permukaan serangan yang terlewatkan.

Jalur Debian

Untuk penerapan berbasis Debian, CVE-2026-48710 dilacak di Debian Security Tracker dengan tingkat keparahan "important," dan rilis titik starlette yang ditambal tersedia untuk suite yang terpengaruh . Terapkan transaksi apt korektif dari repositori bullseye-security atau yang setara, dan muat ulang file unit systemd yang terpengaruh .