Kerentanan Starlette Mengekspos Jutaan Agen AI ke Peretas

Sebuah kelemahan keamanan kritis di salah satu kerangka kerja web Python paling banyak digunakan telah membuat jutaan agen AI, alat pembelajaran mesin, dan layanan produksi rentan terhadap serangan tanpa otentikasi. Kerentanan ini, dilacak sebagai CVE-2026-48710 dan dijuluki “BadHost,” memengaruhi Starlette, kerangka kerja open source yang menerima 325 juta unduhan per minggu.

Itu bukan kesalahan ketik. 325 juta. Per minggu. Dan karena Starlette berfungsi sebagai fondasi untuk FastAPI dan sebuah ekosistem luas dari proyek-proyek Python async, dampaknya meluas jauh melampaui satu perpustakaan saja.

Starlette merekonstruksi URL permintaan dengan mengambil header HTTP Host, yang dapat dimanipulasi secara bebas oleh penyerang, dan menggabungkannya dengan jalur permintaan sebelum menguraikan ulang hasilnya. Kerangka kerja tidak pernah memvalidasi header Host terlebih dahulu.

Dengan menyisipkan karakter tertentu seperti /, ?, atau # ke dalam header Host, penyerang dapat mengubah di mana batasan jalur jatuh dalam URL yang direkonstruksi. Ini memungkinkan mereka melewati middleware apa pun yang bergantung pada pemeriksaan otentikasi berbasis jalur. Tidak diperlukan kredensial. Tidak diperlukan rantai eksploitasi canggih. Hanya header HTTP yang dirancang khusus.

Hasilnya adalah bypass otentikasi lengkap pada aplikasi yang terdampak. Penyerang yang memanfaatkan BadHost dapat mencapai endpoint yang dilindungi, mengakses data sensitif, dan berpotensi mencuri kredensial untuk layanan pihak ketiga yang terhubung ke aplikasi yang rentan.

Yang membuat ini sangat mengkhawatirkan adalah daftar proyek turunan yang bergantung pada Starlette. FastAPI, salah satu kerangka kerja paling populer untuk membangun layanan web Python, berjalan di atasnya. Demikian pula vLLM dan LiteLLM, dua kerangka kerja yang banyak digunakan untuk melayani model bahasa besar di lingkungan produksi. Server MCP, infrastruktur Model Context Protocol yang mendukung alat agen AI, juga terlibat. Ribuan proyek open source memerlukan Starlette agar berfungsi, menciptakan jaringan besar ketergantungan transitif di mana satu kerentanan menyebar secara berantai.

Kerentanan ini memengaruhi semua versi Starlette sebelum 1.0.1. Patch telah dirilis mulai dari versi tersebut, dan scanner gratis untuk mengidentifikasi aplikasi yang terdampak tersedia di badhost.org.

BadHost tidak muncul dalam kekosongan. Pengungkapan ini terjadi di tengah gelombang meningkatnya masalah keamanan yang menyerang kerangka kerja agen AI sepanjang 2025 dan 2026, termasuk serangan prompt injection dan kerentanan eksekusi kode jarak jauh.

Sebuah proyek mungkin bahkan tidak secara langsung mengimpor Starlette tetapi tetap rentan karena sesuatu yang menjadi dependensinya melakukannya.

Dampak langsungnya bersifat operasional. Tim yang menjalankan agen AI atau infrastruktur pelayanan LLM perlu memeriksa pohon dependensi mereka dan memperbarui ke Starlette 1.0.1 atau versi lebih baru. Setiap penundaan meningkatkan paparan terhadap eksploitasi yang tidak memerlukan otentikasi atau akses khusus untuk dijalankan.