技術的な説明
Starlette(FastAPI の基盤となる ASGI フレームワークであり、推移的に vLLM、LiteLLM、Text Generation Inference、MCP サーバー、およびほとんどの Python ベース AI エージェント フレームワークの基盤)は、HTTP Host ヘッダーをリクエスト パスと連結して要求 URL を再構築しますが、Host 値を RFC 9112 文字制約に照らして検証しません。URI 特殊文字(?、/、または #)を Host ヘッダーに注入することで、攻撃者は request.url.path を実際の ASGI ルートパスから逸脱させ、認証情報を必要とせずにパスベースのセキュリティミドルウェアを完全にバイパスできます。'Host: foo?' を含む単一の curl コマンドで、通常の条件では正しく 403 を返すルートで 200 OK を返すことができます。公式 CVSS スコアは 6.5(中程度)ですが、X41 D-Sec と OSTIF のセキュリティ研究者は、AI インフラストラクチャスタック全体における Starlette の浸透を考慮すると、これが実世界の重大度を過小評価していると公開で主張しています。
攻撃経路
リモート、認証なし。攻撃者は、不正な形式の Host ヘッダー(例:'Host: legitimate-host.com?')を含む HTTP リクエストを、Starlette ベースのエンドポイントに送信します。ASGI サーバーは通常どおりリクエストをルーティングし、Starlette のミドルウェアは毒されて再解析された URL パスを評価し、保護されたルートパターンとのマッチングに失敗し、リクエストをハンドラーに通します。生 TCP ソケット、またはカスタム Host ヘッダーを許可するツールが必要です(標準の HTTP クライアントはヘッダーを正規化します)。
影響を受けるシステム
Starlette バージョン 0.8.3~1.0.0(パッチ前のすべてのバージョン)。ダウンストリーム:FastAPI(パスベースの認証に Starlette ミドルウェアを使用するすべてのバージョン)、vLLM 推論サーバー、LiteLLM プロキシゲートウェイ、Text Generation Inference、OpenAI 互換 ASGI シム、FastAPI/Starlette 上に構築された MCP サーバー実装、および AI エージェント ハーネス、ダッシュボード、パスベースのアクセス制御を使用するモデルレジストリ。Cloudflare または AWS ALB の背後にあるデプロイメントは、これらのプロキシが デフォルトで不正な形式の Host ヘッダーを拒否するため、部分的な軽減を受けます。
緩和策
1. すべての直接および推移的な依存関係全体で Starlette 1.0.1 以降にアップグレードします。アップグレード後、すべてのコンテナとベンダード インストレーションを再構築します。これは、その場でのパッケージ更新は古いベンダード コピーをアクティブのままにするためです。2. セキュリティ ミドルウェア内の request.url または request.url.path の使用を request.scope['path'] に置き換えます。これは Host ヘッダー コンテンツの影響を受けない生の ASGI ワイヤ パスを返します。3. 直接公開されている ASGI サービスの前に HTTP/1.1 準拠のリバースプロキシ(Nginx、Apache httpd、Cloudflare)を配置します。X41 D-Sec は無料の Semgrep ルール、CodeQL クエリ、および badhost.org のリモート スキャナーを公開しており、脆弱なインストレーションを検出できます。