Millones de agentes y herramientas de inteligencia artificial en todo el mundo están amenazados por una vulnerabilidad crítica que podría permitir a los piratas informáticos violar los servidores que los ejecutan y transportar datos y credenciales confidenciales a cuentas de terceros, advierte un investigador de seguridad.
La vulnerabilidad existe en Starlette, un marco de código abierto que, según sus desarrolladores, recibe 325 millones de descargas por semana. Miles de otros proyectos de código abierto también son vulnerables porque requieren Starlette para funcionar. Este marco es una implementación de ASGI (interfaz de puerta de enlace de servidor asíncrono), que permite procesar simultáneamente una gran cantidad de solicitudes de manera eficiente. Starlette es la base de FastAPI y otros marcos ampliamente utilizados para crear servicios en aplicaciones Python, así como muchos otros.
Trivial de explotar, millones de servidores expuestos
ASGI, y más tarde Starlette, tienen acceso a servidores que ejecutan MCP (protocolo de contexto modelo), lo que permite a los agentes de IA de grandes proveedores acceder a recursos externos, incluidas bases de datos de usuarios, cuentas de correo electrónico y calendario, y todo tipo de otros recursos. Para conectarse con estos sistemas externos, el servidor MCP almacena las credenciales de cada sistema, lo que lo convierte en un repositorio invaluable que los atacantes pueden descifrar.
La vulnerabilidad, rastreada como CVE-2026-48710 y bajo el nombre BadHost, es fácil de explotar y funciona en la mayoría de los sistemas que no están detrás de un firewall configurado correctamente. Además de FastAPI, otros paquetes ampliamente utilizados, incluidos vLLM y LiteLLM, también se ven afectados. BadHost afecta a las versiones de Starlette anteriores a la 1.0.1, que se lanzó el viernes.
“Un solo carácter insertado en el encabezado del host HTTP evita la autorización basada en ruta en Starlette, el núcleo de enrutamiento FastAPI”, escribieron investigadores de Secwest. “A través de FastAPI, esta primitiva (ahora rastreada como CVE-2026-48710 y denominada BadHost por su inventor) abarca la mayor parte del ecosistema de herramientas de IA de Python: vLLM (donde se descubrió el error), LiteLLM, inferencia de generación de texto, la mayoría de los proxies OpenAI-shim, servidores MCP, agentes de apalancamiento, paneles de evaluación y UI de gestión de modelos”.
BadHost tiene una calificación de gravedad de 7 sobre 10. Secwest dijo que la clasificación “subestima enormemente” la amenaza que representa para las personas que usan otras aplicaciones que dependen de Starlette. X41 D-Sec, la empresa de seguridad que lo descubrió, lo describió como de “gravedad crítica”. X41 D-Sec se asoció con la empresa de seguridad Nemesis para crear escáner en línea que puede comprobar si un servidor en particular es vulnerable.
