Pythonの人気Webフレームワーク「Starlette」に深刻なHostヘッダーインジェクション脆弱性「BadHost」(CVE-2026-48710)が発見され、FastAPI・vLLM・LiteLLM・MCPサーバーなど週間ダウンロード数3億2500万以上に影響することが明らかになりました。AIエージェントが認証をバイパスされ、AWSデータベースが1時間以内に流出した実被害事例も確認されており、セキュリティ研究者は早急なアップデートを強く推奨しています。
BadHostの仕組みはシンプルながら危険です。HTTPリクエストの「Hostヘッダー」に悪意ある値を挿入することで、Starletteベースのサーバーが内部ルーティングや認証チェックを誤って処理してしまいます。AIエージェント用途でStarletteが広く採用されているのは、FastAPIやvLLMといった推論サーバーの基盤ライブラリとして不可欠だからですが、これが今回の影響範囲の広さに直結しました。
実被害事例としては、Hostヘッダーを偽装した攻撃者がAIエージェントサーバーへの不正アクセスに成功し、接続されたAWSデータベースを1時間以内に抜き出すというインシデントが確認されています。MCPサーバーが被害を受けた場合、エージェントが持つ全ツールアクセス権限が奪われる可能性があり、被害範囲が通常のWebアプリより格段に広がるのが特徴です。
Hacker Newsでは「CVSSスコアが『中』というのは過小評価すぎる。MCPサーバーが全滅しうる脆弱性をmediumと評価するのは無責任。今すぐStarlette 1.0.1にアップデートを」という指摘が多くの賛同を集めました。Redditでは「AIエージェントがHTTPの基礎的な脆弱性でやられるのは皮肉。LLMの高度な推論よりも古典的なWeb脆弱性対策の方が急務だったとは」という声もあり、AIシステムの実装品質を問い直す機会になっています。
修正版はすでに公開されており、Starlette 1.0.1以降にアップデートすることで本脆弱性は解消されます。FastAPI・vLLM・LiteLLMを利用している場合も、依存パッケージのStarletteが古いバージョンのままでないか確認が必要です。AIエージェントシステムの本番運用者は、今週中の対応を強く推奨します。