Servidores que hospedam agentes de IA em todo o mundo estavam em risco devido a um bug na estrutura Starlette.

A comunidade de IA descobriu uma vulnerabilidade crítica no framework Starlette, que serve de base para o FastAPI e outras bibliotecas populares para aplicações Python, incluindo vLLM e LiteLLM. Segundo o Ars Technica, a falha permite que atacantes se infiltrem em servidores e roubem dados sensíveis e chaves de acesso a serviços de terceiros.

O framework Starlette, que, segundo seu desenvolvedor, recebe 325 milhões de downloads por semana, implementa a Interface de Gateway de Servidor Assíncrono (ASGI) e tem acesso a servidores do Protocolo de Contexto de Modelo (MCP). É por meio desses servidores que os agentes de IA se comunicam com bancos de dados externos, caixas de correio e calendários, armazenando credenciais para cada conexão, o que torna os servidores MCP um alvo extremamente valioso para ataques.

O bug em si, apelidado de BadHost e identificado como CVE-2026-48710, envolve o processamento incorreto de cabeçalhos HTTP e é extremamente fácil de explorar. Segundo pesquisadores da Secwest, a injeção de apenas um caractere no cabeçalho Host permite que a autorização baseada em caminho seja burlada: o Starlette aceita valores inválidos no cabeçalho Host, fazendo com que o atributo request.url.path seja diferente do caminho real transmitido via HTTP. Embora a classificação oficial de gravidade da ameaça seja 7 em 10, especialistas da X41 D-Sec a classificam como crítica, citando o risco de SSRF (falsificação de solicitação do servidor) e, em alguns casos, execução remota de código.O problema afeta diretamente muitos pacotes dependentes, incluindo vLLM e LiteLLM, bem como proxies compatíveis com OpenAI, ferramentas de gerenciamento de agentes de IA, painéis de gerenciamento de modelos einterfaces para avaliar seu desempenho. Durante uma varredura de rede, o pesquisador Markus Vervier descobriu que bancos de dados de ensaios clínicos biofarmacêuticos, sistemas de verificação de identidade, acesso SSH a dispositivos IoT, caixas de correio SaaS com acesso de leitura, sistemas de RH com dados pessoais de candidatos a emprego, e-mails, além de ferramentas de monitoramento em nuvem e segurança cibernética, estavam todos publicamente acessíveis.

O desenvolvedor da estrutura não respondeu a um pedido de comentário, mas na última sexta-feira lançou uma versão corrigida do Starlette 1.0.1, e a X41 D-Sec, em parceria com outra empresa de segurança, a Nemesis, criou um scanner online que pode verificar se um servidor específico é vulnerável.