🔥 この記事の詳細
2026-05-27 更新
B
今週中

Starletteフレームワークに「BadHost」と呼ばれる深刻な脆弱性(CVE-2026-48710)

脆弱性🌐 英語ソース
🔢 CVECVE-2026-48710
📅 2026-05-27📰 xakep
📌 一言でいうと
Starletteフレームワークに「BadHost」と呼ばれる深刻な脆弱性(CVE-2026-48710)が発見されました。この脆弱性はHTTP Hostヘッダーの処理不備に起因し、FastAPIやvLLMLiteLLMなどの多くのAIツールやエージェントに影響を与えます。攻撃者はHostヘッダーに特定の文字を挿入することで悪用できる可能性があり、修正済みのバージョン1.0.1へのアップデートが推奨されています。
🔍該当判定
  • FastAPI を利用して Web API や社内システムを構築・運用している
  • vLLM や LiteLLM などの AI モデル推論・管理ツールを導入している
  • MCPサーバーや OpenAI 互換プロキシなどの AI エージェント基盤を利用している
  • Python の Starlette フレームワーク(バージョン 1.0.1 未満)を直接利用している
上記いずれにも該当しない → 静観でOK
該当時の対応
Starletteをバージョン1.0.1以降にアップデートしてください。また、FastAPIなどの依存ライブラリを利用している場合は、最新のパッチが適用されているか確認してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Starlette (CVE-2026-48710) BadHost 脆弱性への対応について

お疲れさまです。Starletteフレームワークにおける深刻な脆弱性に関する情報共有です。

■ 概要
StarletteのHTTP Hostヘッダー処理に起因する脆弱性「BadHost (CVE-2026-48710)」が報告されました。CVSSスコアは7ですが、AIエコシステムへの影響範囲が極めて広いため、実質的にクリティカルな問題とされています。

■ 影響範囲
- Starlette (バージョン 1.0.1 未満)
- FastAPI
- vLLM, LiteLLM, MCPサーバー
- その他StarletteをベースとしたAIランタイムやプロキシ

■ 対応手順
1. 利用しているライブラリのStarletteバージョンを確認してください。
2. Starletteをバージョン 1.0.1 以降にアップデートしてください。
3. FastAPI等の上位フレームワークを利用している場合は、依存関係を更新し、最新版を適用してください。

■ 参考情報
- CVE-2026-48710

対応優先度: 高
対応期限: 速やかに
Subject: [Security Advisory] Starlette CVE-2026-48710 (BadHost) Mitigation

Dear IT/Security Team,

We are sharing information regarding a critical vulnerability identified as 'BadHost' in the Starlette framework.

■ Overview
CVE-2026-48710 is a vulnerability in how Starlette handles the HTTP Host header. While the CVSS score is 7, the impact is considered critical due to Starlette's widespread use in AI infrastructure.

■ Affected Scope
- Starlette (versions prior to 1.0.1)
- FastAPI
- vLLM, LiteLLM, MCP servers
- Other AI runtimes and proxies based on Starlette

■ Mitigation Steps
1. Audit your environment for Starlette versions below 1.0.1.
2. Update Starlette to version 1.0.1 or later.
3. Ensure that dependent frameworks (e.g., FastAPI) are updated to versions that incorporate the fix.

■ Reference
- CVE-2026-48710

Priority: High
Deadline: Immediate
🔗 元の記事を読む
← トップへ戻る🗓 2026-05-27 のまとめ🔍 記事を検索