Starlette Güvenlik Açığı, Milyonlarca Yapay Zeka Aracını Hackerlara Maruz Bırakıyor

Python’in en çok kullanılan web çerçevelerinden birindeki kritik bir güvenlik açığı, milyonlarca AI ajanını, makine öğrenimi aracını ve üretim servisini kimlik doğrulamasız saldırganlara karşı savunmasız hale getirdi. CVE-2026-48710 olarak izlenen ve “BadHost” takma adıyla bilinen bu açık, haftada 325 milyon indirme alan açık kaynaklı Starlette çerçevesini etkiliyor.

Bu bir yazım hatası değil. Haftada 325 milyon. Ve Starlette, FastAPI ve Python async projelerinin geniş bir ekosisteminin temelini oluşturduğu için etki alanı tek bir kütüphane ötesine uzanıyor.

Starlette, bir isteğin URL'sini, saldırganın serbestçe manipüle edebileceği HTTP Host başlığını istek yoluna ekleyip sonucu yeniden ayrıştırarak oluşturur. Çerçeve, önceki Host başlığını hiçbir zaman doğrulamaz.

Bir saldırgan, Host başlığına /, ? veya # gibi belirli karakterler ekleyerek, yeniden oluşturulmuş URL'de yol sınırlarının nerede düşeceğini değiştirebilir. Bu, yol tabanlı kimlik doğrulama kontrollerine dayalı herhangi bir ara yazılımı atlamasını sağlar. Herhangi bir kimlik bilgisi gerekmez. Karmaşık bir istismar zinciri gerekmez. Sadece bir hazırlanmış HTTP başlığı yeterlidir.

Sonuç, etkilenen uygulamalarda tam bir kimlik doğrulama atlamadır. BadHost'u kullanan saldırganlar, korunan uç noktalara erişebilir, hassas verilere ulaşabilir ve hassas uygulamaya bağlı üçüncü taraf hizmetler için kimlik bilgilerini çalabilir.

Bu durumu özellikle endişe veren, Starlette’e bağımlı olan aşağıdaki projelerin listesidir. Python web hizmetleri oluşturmak için en popüler çerçevelerden biri olan FastAPI, onun üzerine kuruludur. vLLM ve LiteLLM gibi üretim ortamlarında büyük dil modellerini sunmak için yaygın olarak kullanılan iki çerçeve de aynı şekilde Starlette’e bağımlıdır. AI ajan araçlarını güçlendiren Model Context Protocol altyapısı olan MCP sunucuları da dahildir. Binlerce açık kaynak projesi, Starlette’in çalışması için gerekli olup, tek bir zafiyetin dışa doğru yayılmasına neden olan büyük bir dolaylı bağımlılık ağı oluşturur.

Zafiyet, 1.0.1 öncesi tüm Starlette sürümlerini etkiler. Bu sürümden itibaren düzeltmeler yayınlandı ve etkilenen uygulamaları tespit etmek için ücretsiz bir tarayıcı badhost.org adresinde mevcuttur.

BadHost, boşlukta ortaya çıkmadı. Bu açıklama, 2025 ve 2026 yılları boyunca AI ajan çerçevelerini etkileyen artan bir güvenlik sorunu dalgasıyla birlikte geldi; bu sorunlar arasında teşvik enjeksiyonu saldırıları ve uzaktan kod yürütme zafiyetleri yer alıyor.

Bir proje, Starlette’i doğrudan içe aktarmasas bile, bağımlılıklarından biri bunu yapıyorsa hâlâ güvensiz kalabilir.

Hemen uygulanabilir bir etkisi vardır. AI ajanları veya LLM sunum altyapısı çalıştıran ekipler, bağımlılık ağaçlarını kontrol etmeli ve Starlette 1.0.1 veya daha yeni bir sürümü güncellemelidir. Herhangi bir gecikme, kimlik doğrulama gerektirmeyen ve özel erişim olmadan yürütülebilen bir zafiyet kullanımına maruz kalma riskini artırır.