CVE-2026-48710「BadHost」： 1文字で崩壊するAIインフラの認証、数百万のエージェントが危機に

なぜ、たった1文字で突破されるのか？ BadHostの攻撃メカニズム

StarletteのURL再構築ロジックが、ルーティングされるパスと認証されるパスとの間に危険な不一致を生み出します。HTTPリクエストが到着すると、ルーターはリクエスト行から正しくアクセス先のエンドポイントを特定します。しかし、アプリケーションが後になってユーザーの認可を判断するためにrequest.urlを確認する際、StarletteはHostヘッダーとリクエストパスを連結してURLを再構築し、再解析してしまいます 。

攻撃者はこの挙動を悪用し、例えば、保護されたエンドポイント/admin/secureに対して、以下のように細工したHostヘッダーを付けてリクエストを送信します。

ルーターはリクエストを正しく/admin/secureのハンドラーへ転送します。しかし、認証ミドルウェアがrequest.url.pathを調べると、そこには/healthというパスが見えます。もしミドルウェアが/healthを公開用のヘルスチェックエンドポイントとして許可リストに登録していれば、攻撃者は認証を難なく通過します。パスワードもトークンも、被害者の操作も一切不要です。認証チェックは音もなく迂回されてしまうのです 。

X41 D-Secの勧告は、その驚くべき単純さをこう強調しています。「HTTP Hostヘッダーに1文字挿入するだけで、サーバーを騙すのに十分です」。この混乱を引き起こす具体的な文字は、スラッシュ(/)、疑問符(?)、ハッシュ記号(#)といった、URLの標準的な区切り文字です。Starletteはこれらの文字を検証していませんでした 。

AIエージェント・インフラへの甚大な影響範囲

この脆弱性の影響範囲は計り知れません。Starletteは、1週間に約3億2500万回もダウンロードされる、主要なPythonベースのAI推論・オーケストレーションツールのほぼすべてを陰で支えるエンジンです 。バージョン1.0.1より前のStarletteを利用する、以下のような下流プロジェクトすべてが影響を受けます。

• FastAPI: AIモデルのAPIやエージェントのバックエンドを構築するための、最も人気のあるモダンPython Webフレームワーク 。
• vLLM: 主要なAIプロバイダーの本番環境に導入されている、高スループットのLLM推論エンジン。今回の脆弱性発見のきっかけとなった監査対象そのものです 。
• LiteLLM: 複数のプロバイダーにまたがるAPIキー、レート制限、モデルアクセスを管理する、LLM APIプロキシおよびオーケストレーションレイヤー 。
• MCPサーバー: AIエージェントがツールを利用するためのパイプラインのインフラ層。認証バイパスにより、機密性の高いツールの認証情報や実行コンテキストが漏洩する可能性があります 。

影響が確認されているバージョンはStarlette 0.8.3以上、1.0.1未満です。つまり、長年にわたり安定版を運用してきたシステムも、潜在的に脆弱であることを意味します 。

「深刻度6.5」は過小評価？ 専門家が警鐘を鳴らすCVSSスコア論争

CVE-2026-48710の公式な深刻度評価をめぐり、セキュリティコミュニティで大きな意見の相違が生じています。

• NVD公式 CVSS v3.1スコア: 6.5 (中程度) — 評価ベクトルCVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:Nは、機密性と完全性への影響を「低」と評価し、影響範囲を「変更なし」に限定。可用性への影響はないとしています 。
• 発見者X41 D-SecのCVSS v4.0スコア: 7.0 (高) — 評価ベクトル

  CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:N/VA:N/SC:H/SI:H/SA:N

  は、影響範囲を「変更あり」とし、後続システムへの機密性・完全性への影響を「高」と評価。AIエージェントアーキテクチャで発生する、境界を越えた権限昇格の実態をより正確に捉えています 。
• Secwestの評価: 緊急 (Critical) — 独立系調査会社SecwestはBadHostを「緊急」と位置づけ、公式スコアは「下流への影響を著しく過小評価している」と述べています 。

専門家たちが「6.5」は危険なほど低いと主張する根拠は、以下の3点に集約されます。

1. AIインフラにおけるスコープ（影響範囲）の境界は破綻している。 CVSS v3.1の「変更なし」というスコープは、攻撃者が単一のセキュリティドメイン内で活動することを前提としています 。しかし実際には、BadHostは信頼境界を完全に越境します。認証されていない外部の攻撃者が、モデルの重みやエージェントツール、データパイプラインと連携する内部のパス保護エンドポイントを呼び出す能力を得るのです。これは、CVSS v4.0のSC:H/SI:H（後続システムへの高い影響）という指標でようやく捉えられる、教科書的な「後続影響」です 。
2. 影響は「低」ではなく「高」である。 機密性と完全性への「低」い影響という評価は、限られたデータしか露出しないことを示唆します。しかし、攻撃が成功すれば、対象パスの背後にあるすべてのもの、つまり、保存されたMCPサーバーの認証情報、チャット履歴、オーケストレーションAPIキー、さらにはコントロールプレーンへのコマンドまで、無制限にアクセスできることになります。これは、パスベースの認証を使用するあらゆるAIエージェントのデプロイメントにとって、機密データの完全な侵害を意味します 。
3. 「中程度」というラベルは、パッチ適用の遅延を助長する。 組織は多くの場合、「高」または「緊急」のCVEを即時修正の対象として優先しますが、「中程度」の欠陥は次のメンテナンスウィンドウでの対応に回されます。BadHostの悪用の容易さと膨大な攻撃対象領域を考えれば、「中程度」というレッテル貼りは、研究者たちが必要と考える緊急性とは相反するものなのです 。

修正パッチ：Starlette 1.0.1へのアップグレード

2026年5月22日にリリースされたStarlette バージョン1.0.1には、決定的なパッチが含まれています。この修正は、GitHub Security Advisory (GHSA-86qp-5c8j-p5mr) およびX41アドバイザリ (X41-2026-002) で追跡されています 。

このパッチは、以下の2つの中核的な保護機能を実装しています。

1. Hostヘッダーの検証: request.urlの構築に使用される前に、HostヘッダーがRFC 9112 §3.2 および RFC 3986 §3.2.2 で規定された文法に照らして検証されるようになりました 。
2. 安全なフォールバック: 不正な形式のHostヘッダーが検出された場合、Starletteは攻撃者が提供した値ではなく、実際のサーバー接続情報であるscope["server"]にフォールバックします。これにより、request.url.pathは常に実際にルーティングされたパスを一貫して反映するようになります 。

FastAPIプロジェクトも、この修正が有効であることを確認し、starletteを1.0.1以上に直ちにアップグレードすることを推奨しています 。

組織が取るべき具体的な防御策

Starletteパッケージのアップグレードは不可欠な第一歩ですが、包括的な防御には多層的なアプローチが必要です。

1. 直ちにパッチを適用する。 AIインフラを実行するすべての仮想環境、コンテナイメージ、デプロイメントパイプラインで、以下を実行します。

   pip install --upgrade starlette

   影響を受けるすべてのサービスを再起動してください。これは、Starletteを直接使用している場合だけでなく、FastAPI、vLLM、LiteLLM、MCPサーバーのインスタンスにも適用されます 。

2. 依存関係を監査し、バージョンを固定する。 FastAPIなどのフレームワークが、Starletteの最小バージョンを自動的に強制するとは限りません。requirements.txt、pyproject.toml、poetry.lock、または同等のロックファイルで、starlette>=1.0.1を明示的に要求してください。全環境で

   pip list | grep starlette

   を実行し、古いインストールを特定します 。

3. AIスタックの全コンポーネントをスキャンする。 HTTPを提供するあらゆるPythonサービス（カスタムFastAPIアプリ、LLM推論エンドポイント、エージェントオーケストレーション基盤、モデル評価パネル、OpenAI互換プロキシなど）が、脆弱なStarletteバージョンを組み込んでいる可能性があります。インフラストラクチャ全体の監査を実施してください 。

4. リバースプロキシとWAFを強化する。 nginx、Envoy、HAProxy、Cloudflare、AWS ALBなどで、トラフィックをPythonアプリケーションに転送する前に、不正な形式のHostヘッダーを拒否または無害化するよう設定します。これにより、アプリケーション層のパッチ適用が遅れた場合でも、悪用をブロックする多層防御が提供されます 。

5. request.url.pathに依存したパス安全性チェックを書き換える。 根本原因は、ルーティングパスとrequest.url.pathの不一致でした。可能な限り、認証ミドルウェアをrequest.scope["path"]を使用するように切り替えてください。これは生のASGIスコープから導出されるため、Hostヘッダーによる汚染を受けません 。X41 D-Secは、パスベースの認証を完全に避け、エンドポイント固有の認証メカニズムを採用することを推奨しています 。

6. 露出状況をテストする。 組織が自社サーバーの脆弱性有無を確認するためのオンラインスキャナが公開されています 。認証境界に対する徹底的なペネトレーションテストと組み合わせることで、見落とされた攻撃対象領域を明らかにできます。

Debian系システムでの対応

Debianベースのデプロイメントでは、CVE-2026-48710はDebianセキュリティトラッカーで「重要（important）」として追跡されており、影響を受けるスイート向けにパッチ適用済みのstarletteポイントリリースが利用可能です 。bullseye-security相当のリポジトリから修正aptトランザクションを適用し、影響を受けるsystemdユニットファイルを再読み込みしてください 。