Milioni di agenti AI e strumenti connessi sono esposti a una vulnerabilità critica che potrebbe consentire ad attaccanti di penetrare nei server su cui girano, sottrarre dati sensibili e impossessarsi delle credenziali di accesso ad account di terze parti. La falla si annida in Starlette, un framework open source che, secondo il suo sviluppatore, registra qualcosa come 325 milioni di download alla settimana. E non finisce qui: migliaia di altri progetti open source risultano vulnerabili perché dipendono da Starlette per funzionare.
Starlette è un’implementazione dell’ASGI (asynchronous server gateway interface), uno standard che permette di gestire in modo efficiente grandi volumi di richieste simultanee. Il framework rappresenta la base di FastAPI e di molti altri strumenti utilizzati per costruire servizi in app Python. È il cuore pulsante di un ecosistema enorme, il che rende la portata del problema davvero significativa.
Come funziona la falla BadHost e perché è così pericolosa
La vulnerabilità, tracciata come CVE-2026-48710 e ribattezzata BadHost, è banale da sfruttare e colpisce la maggior parte dei sistemi che non si trovano dietro un firewall configurato a dovere. Il meccanismo è sottile ma devastante: basta iniettare un singolo carattere nell’header HTTP Host per aggirare l’autorizzazione basata sul percorso in Starlette. Questo perché il framework ricostruisce l’URL richiesto basandosi sull’header Host senza effettuare alcuna validazione, mentre il routing interno si basa sul percorso effettivo della richiesta. Questa interpretazione incoerente apre la porta a bypass dell’autenticazione, attacchi SSRF (server side request forgery) e, in alcuni casi, persino all’esecuzione di codice da remoto.
Il problema diventa ancora più grave se si considera che ASGI, e di conseguenza Starlette, hanno accesso ai server che eseguono il MCP (model context protocol), il protocollo che permette agli agenti AI dei principali provider di connettersi a risorse esterne: database utenti, account email e calendario, e molto altro ancora. Per collegarsi a questi sistemi, i server MCP conservano le credenziali di ciascuno, trasformandosi in veri e propri forzieri per chiunque riesca a violarli.
Oltre a FastAPI, anche altri pacchetti molto diffusi come vLLM e LiteLLM risultano coinvolti. La lista degli strumenti a rischio comprende Text Generation Inference, proxy compatibili con OpenAI, server MCP, dashboard di valutazione e interfacce di gestione dei modelli. BadHost colpisce tutte le versioni di Starlette precedenti alla 1.0.1, rilasciata venerdì scorso.
Dati esposti e cosa fare adesso
La gravità ufficiale di BadHost è stata fissata a 7 su 10, ma i ricercatori di Secwest sostengono che questa classificazione sottostima in modo sostanziale il rischio reale per chi utilizza applicazioni che dipendono da Starlette. La società di sicurezza X41 D-Sec, che ha scoperto la falla, la descrive come di “severità critica”. In collaborazione con l’altra firma di sicurezza Nemesis, X41 D-Sec ha messo a disposizione uno scanner online per verificare se un determinato server sia vulnerabile.
Una scansione condotta dal ricercatore Markus Vervier di X41 D–Sec ha rivelato una varietà impressionante di dati attualmente esposti: database di trial clinici e dati relativi a fusioni e acquisizioni nel settore biopharma, sistemi di verifica dell’identità con dati biometrici e PII, accesso SSH a dispositivi IoT e industriali con possibilità di esecuzione di codice da remoto, caselle email con permessi completi di lettura, invio e cancellazione, pipeline di recruiting con dati personali dei candidati, piattaforme CMS con liste di iscritti, sistemi di gestione documentale, infrastrutture di monitoraggio cloud con topologia AWS, strumenti di cybersecurity con accesso a scanner attivi, e persino log di salute personale e dati finanziari.
Con le versioni vulnerabili di Starlette ancora largamente utilizzate in ambienti di produzione, chi si affida ad applicazioni che dipendono da questo framework dovrebbe quantomeno eseguire lo scanner messo a disposizione da X41 D-Sec e Nemesis per verificare se il proprio sistema è ancora esposto.
