Una vulnerabilità scoperta all’interno di Starlette, uno dei framework open source più utilizzati nell’ecosistema Python, sta mettendo a rischio milioni di agenti di intelligenza artificiale e servizi digitali in tutto il mondo. Il difetto, denominato BadHost e registrato come CVE-2026-48710, potrebbe consentire a un aggressore di ottenere accessi non autorizzati ai server vulnerabili, compromettendo dati sensibili, credenziali e risorse collegate a servizi esterni.
La scoperta è particolarmente preoccupante perché Starlette rappresenta la base tecnologica di numerosi framework e applicazioni largamente diffusi, tra cui FastAPI. Secondo il suo sviluppatore, il pacchetto registra circa 325 milioni di download settimanali, un dato che evidenzia la vastità dell’impatto potenziale della vulnerabilità.
Diffusione della vulnerabilità BadHost nel software AI
La portata di BadHost è direttamente collegata all’enorme diffusione di Starlette nell’infrastruttura software moderna. Il framework implementa lo standard ASGI (Asynchronous Server Gateway Interface), una tecnologia che permette di gestire contemporaneamente un elevato numero di richieste e che viene utilizzata da moltissimi servizi sviluppati in Python.
La vulnerabilità non interessa soltanto Starlette in modo diretto, ma coinvolge anche numerosi progetti che dipendono dal framework per il proprio funzionamento. Tra questi figurano FastAPI, vLLM, LiteLLM, sistemi di gestione dei modelli AI, dashboard di valutazione, server MCP e numerosi proxy compatibili con OpenAI.
Secondo i ricercatori di Secwest, il bug può propagarsi a una parte significativa dell’intero ecosistema AI basato su Python, ampliando notevolmente la superficie di attacco disponibile per i criminali informatici.
La minaccia diretta alla sicurezza degli agenti AI
L’aspetto più delicato riguarda i server che implementano il Model Context Protocol (MCP), una tecnologia che permette agli agenti AI di interagire con fonti esterne come database aziendali, caselle email, calendari e altri servizi digitali.
Per funzionare, questi server conservano credenziali di accesso ai sistemi collegati, trasformandosi di fatto in depositi di informazioni particolarmente preziose. Se compromessi, potrebbero consentire agli aggressori di accedere a dati riservati o di utilizzare servizi terzi senza autorizzazione.
Gli esperti sottolineano che BadHost è estremamente semplice da sfruttare, soprattutto nei sistemi che non sono protetti da firewall configurati correttamente. Sebbene la vulnerabilità abbia ricevuto un punteggio di gravità pari a 7 su 10, diverse società di sicurezza ritengono che tale valutazione non rifletta pienamente il rischio reale. L’azienda X41 D-Sec, che ha individuato il problema, la considera infatti una minaccia di livello critico.
Come funziona il bug scoperto in Starlette
Il problema nasce dal modo in cui Starlette ricostruisce gli URL delle richieste HTTP. Il framework utilizza l’header “Host” per generare l’indirizzo richiesto, ma non verifica adeguatamente che il valore ricevuto sia valido.
Questo comportamento permette a un attaccante di manipolare l’header e creare una discrepanza tra il percorso reale della richiesta e quello interpretato dall’applicazione. In alcuni casi, i sistemi di autenticazione che si basano sull’attributo request.url.path possono essere aggirati, consentendo accessi che dovrebbero essere bloccati.
Oltre al bypass dell’autenticazione, i ricercatori segnalano la possibilità di sfruttare la vulnerabilità per attacchi SSRF (Server-Side Request Forgery) e, in determinate circostanze, persino per arrivare all’esecuzione di codice remoto.
Impatto sulla catena del software AI mondiale
Le verifiche effettuate da X41 D-Sec hanno evidenziato scenari particolarmente preoccupanti. Tra i sistemi potenzialmente esposti figurano piattaforme di intelligenza artificiale utilizzate nel settore biofarmaceutico, servizi di verifica dell’identità, infrastrutture IoT e industriali, piattaforme SaaS, sistemi HR, strumenti di gestione documentale e soluzioni di monitoraggio cloud.
In alcuni casi, un eventuale attacco potrebbe consentire l’accesso a database di studi clinici, informazioni aziendali riservate, dati personali degli utenti, contenuti delle caselle email, documenti archiviati e perfino infrastrutture cloud complesse.
La vulnerabilità dimostra ancora una volta come un singolo componente open source possa avere conseguenze su una vasta catena di software interconnessi, coinvolgendo migliaia di organizzazioni in tutto il mondo.
Rischio continuo per gli agenti di intelligenza artificiale
Nonostante il rilascio della versione correttiva Starlette 1.0.1, pubblicata nei giorni scorsi, il rischio rimane elevato. Molte organizzazioni continuano infatti a utilizzare versioni precedenti del framework all’interno dei propri ambienti produttivi.
La diffusione capillare di Starlette rende inevitabilmente più lenta la propagazione degli aggiornamenti, lasciando attive numerose installazioni vulnerabili. Gli esperti avvertono che il pericolo persisterà fino a quando le versioni obsolete non saranno completamente sostituite.
Per questo motivo, le aziende che utilizzano infrastrutture AI devono prestare particolare attenzione alla verifica delle dipendenze software e alla gestione tempestiva delle patch di sicurezza.
Come proteggersi oggi contro la vulnerabilità Starlette AI
Le indicazioni degli esperti sono chiare: chi utilizza applicazioni basate su Starlette dovrebbe aggiornare immediatamente il framework alla versione corretta e verificare l’eventuale presenza di codice vulnerabile nei propri sistemi.
X41 D-Sec e Nemesis hanno inoltre sviluppato uno scanner dedicato che consente di individuare i server esposti alla vulnerabilità BadHost. L’utilizzo di questo strumento può rappresentare un primo passo fondamentale per valutare il livello di rischio.
Parallelamente, è consigliabile implementare firewall configurati correttamente, monitorare costantemente gli aggiornamenti di sicurezza e mantenere sotto controllo tutte le dipendenze software utilizzate negli ambienti AI. La vicenda dimostra quanto sia importante adottare una strategia di sicurezza continua, soprattutto quando si utilizzano componenti open source alla base di servizi critici.
Fonte: Ars Technica
