Jutaan AI agent terancam kerentanan kritis paket open source
Judul asli: Millions of AI agents imperiled by critical vulnerability in open source package
Mengapa Ini Penting
Kerentanan ini mengancam jutaan sistem AI yang menyimpan data sensitif dan kredensial
Kerentanan kritis CVE-2026-48710 bernama BadHost ditemukan di Starlette yang diunduh 325 juta kali per minggu. Memungkinkan peretas akses server AI agent dan mencuri data sensitif serta kredensial akun pihak ketiga.
Peneliti keamanan Secwest dan X41 D-Sec menemukan kerentanan kritis di Starlette, framework open source untuk Python yang menjadi basis FastAPI dan ribuan proyek lain. Celah ini memungkinkan injeksi karakter tunggal di HTTP Host header untuk melewati otorisasi berbasis path. Framework ini digunakan dalam infrastruktur MCP (model context protocol) yang menyimpan kredensial untuk akses AI agent ke database pengguna, email, dan kalender. Kerentanan dengan rating 7/10 ini mempengaruhi vLLM, LiteLLM, dan sistem manajemen model AI lainnya. Versi Starlette 1.0.1 yang dirilis Jumat telah memperbaiki masalah ini.