FastAPIやvLLM、LiteLLM、多数のMCPサーバーの基盤として使われているPythonフレームワーク「Starlette」に、認証バイパスの重大な脆弱性(CVE-2026-48710、通称「BadHost」)が発見されました。週3億2,500万回ダウンロードされるこのフレームワークの欠陥を悪用すると、HTTPホストヘッダを操作するだけで認証を無効化でき、AIエージェントサーバーへの未認証アクセスが可能になります。修正済みバージョンは1.0.1です。
この脆弱性が特に深刻なのは、AIエージェントの普及により攻撃面が爆発的に拡大しているためです。Sysdigはすでに、LLMエージェントがBadHostを経由してAWSデータベースを自律的に窃取する攻撃を実証しており、理論上の脅威にとどまらないことが示されています。MCPサーバー(モデルコンテキストプロトコル・サーバー)はOAuth認証エンドポイントが未認証で公開される仕様のため、特にリスクが高いとセキュリティ研究者は指摘しています。公式のCVSS(共通脆弱性評価システム)スコアは「中」評価にとどまっていますが、実際の影響範囲と悪用可能性を考えると過小評価だという批判も上がっています。
Hacker Newsでは「公式CVSSスコアが"中"評価なのは無責任」「祝日前に公開したのはセキュリティコミュニティへの配慮が欠けている」という厳しい批判が集中し、LLMエージェントの自律攻撃デモへの衝撃も大きかったと報告されています。r/netsecでは「FastAPIを使っているAIアプリは今すぐStarlette 1.0.1へのアップグレードが必須」という実務的な対応の呼びかけが上位を占めました。X上ではセキュリティ研究者から「MCPサーバーが特にリスクが高い」という詳細な技術解説が広く拡散しています。
FastAPIベースのアプリケーションを運用している場合は、直ちにStarlette 1.0.1へのアップグレードを確認することを推奨します。AIエージェントが自律的に攻撃ツールとして利用されるシナリオが現実のものとなっており、セキュリティ対策の優先度が一段と高まっています。