何が起きたか
CVE-2026-48710 は「BadHost」と呼ばれ、Starlette (LiteLLM、vLLM、FastAPI、および多くの AI ウェブサービスを支える ASGI フレームワーク) のホストヘッダ検証フローです。不正な形式のホストヘッダ値を注入することで、攻撃者は Starlette のパスベース認証ミドルウェアに対して、有効なパスをパブリックルートルートとして計算させながら管理エンドポイントにルーティングさせ、認証を回避できます。Horizon3.ai は LiteLLM に対する完全な非認証 RCE チェーン (CVE-2026-42271 と組み合わせた) を実証しました。CSO Online は vLLM を含む FastAPI ベースの AI ツールへのフローの影響を報告しました。
なぜ重要か
vLLM はエンタープライズおよびクラウド AI デプロイメントで使用される主流のオープンソース LLM 推論サーバーです。任意の Starlette アプリケーションに対して機能するパスベース認証回避は、AI 推論エンドポイント、モデル管理 API、および幅広いデプロイメント全体の管理インターフェースが認証なしでアクセス可能である可能性があることを意味します。コマンドインジェクションまたは逆シリアル化フローと組み合わせると、モデルサービングインフラストラクチャに対する非認証 RCE が発生します。
攻撃経路
攻撃者は HTTP ホストヘッダに特殊文字 (? または #) を追加します。Starlette のパス計算はリクエストを「/」 (パブリックルート) をターゲットにしていると扱う一方で、ルータは実際にリクエストされたエンドポイントにディスパッチし続けます。パスベース認証ミドルウェアは計算された (パブリック) パスをチェックしてアクセスを許可します。LiteLLM の CVE-2026-42271 と組み合わせると、非認証 RCE が発生します。影響を受ける ASGI アプリの任意の制限されたエンドポイントへの非認証アクセスを独立して許可します。
影響を受けるシステム
Starlette 0.8.3 – 1.0.0; LiteLLM、vLLM、FastAPI ベースの AI 推論サーバー、およびパスベース認証ミドルウェアを使用する任意の ASGI アプリに影響
緩和策
Starlette を ≥1.0.1 にアップグレードしてください。すべての FastAPI/Starlette ベースの AI サービスをパスベース認証パターンについて監査し、デコレータベースのルートごと認証への切り替えを検討してください。