Celah Kritis di Starlette Ancam Jutaan Agen AI, Satu Karakter Cukup Bypass Autentikasi

Vulnerability CVE-2026-48710 atau “BadHost” ditemukan di framework Python yang diunduh 325 juta kali per minggu. Dampaknya menjangkau FastAPI, vLLM, dan sebagian besar ekosistem AI.

Apa yang Terjadi

CLB.my.id - Sebuah celah keamanan kritis berlabel CVE-2026-48710, yang diberi nama “BadHost,” ditemukan di dalam Starlette, framework Python populer yang menjadi tulang punggung FastAPI dan ribuan alat AI lainnya. Kerentanan ini tergolong sangat mudah dieksploitasi, cukup dengan menyisipkan satu karakter ke dalam HTTP Host header, dan dampaknya bisa melewati autentikasi berbasis path secara keseluruhan.

Starlette menerima sekitar 325 juta unduhan per minggu, menjadikannya salah satu fondasi paling masif dalam ekosistem pengembangan aplikasi berbasis Python. Framework ini adalah implementasi dari ASGI (Asynchronous Server Gateway Interface), protokol yang memungkinkan server memproses sejumlah besar permintaan secara bersamaan secara efisien. FastAPI, vLLM, LiteLLM, dan sebagian besar server MCP (Model Context Protocol) yang digunakan oleh agen AI dari berbagai penyedia besar, semuanya bergantung pada Starlette.

Bagaimana Celah Ini Bekerja

Inti dari kerentanan ini terletak pada ketidaksesuaian antara cara Starlette membangun ulang URL dari header Host dan cara routing-nya memproses permintaan. Starlette merekonstruksi URL berdasarkan header HTTP Host dan path yang diminta. Namun, routing dilakukan berdasarkan path aktual yang diminta melalui HTTP. Inkonsistensi ini memungkinkan penyerang menyisipkan path ke dalam bagian Host header, yang menyebabkan aplikasi mengevaluasi request.url.path yang berbeda dari path yang sebenarnya diminta.

“Satu karakter yang disisipkan ke dalam HTTP Host header melewati autentikasi berbasis path di Starlette, routing core dari FastAPI,” tulis para peneliti dari Secwest dalam laporan mereka.

Akibat dari celah ini sangat beragam dan serius. Penyerang bisa melakukan bypass autentikasi, Server-Side Request Forgery (SSRF), dan dalam beberapa kasus, eksekusi kode jarak jauh (remote code execution). X41 D-Sec, firma keamanan yang menemukan celah ini, mengklasifikasikannya sebagai “critical severity,” meskipun CVSS memberikan rating 7 dari 10. Para peneliti menyebutkan bahwa rating tersebut “secara material meremehkan” ancaman yang ditimbulkan.

Data Apa yang Terpapar

X41 D-Sec dan Nemesis, firma keamanan yang membuat scanner online untuk mendeteksi kerentanan ini, menemukan bahwa server yang rentan secara aktif mengekspos data yang sangat sensitif. Hasil pemindaian mengungkap sepuluh kategori data yang terekspos: database uji klinis biopharma dan data merger dan akuisisi, data verifikasi identitas yang berisi informasi pribadi langsung (PII) dan basis kode internal, akses SSH ke perangkat IoT dan industri yang memungkinkan eksekusi kode jarak jauh, akses penuh ke kotak email untuk membaca, mengirim, dan menghapus pesan, data PII kandidat rekrutmen dan pipeline perekrutan, daftar pelanggan CMS yang memungkinkan kampanye email massal, sistem manajemen dokumen untuk membaca, mengunggah, dan memodifikasi dokumen, topologi AWS dan metrik pemantauan cloud, inventaris aset keamanan siber beserta akses pemindai langsung, serta catatan kesehatan dan keuangan pribadi termasuk log nutrisi dan pengeluaran.

Siapa yang Terdampak

Dampak BadHost menjangkau jauh melampaui pengguna Starlette secara langsung. Karena FastAPI dibangun di atas Starlette, setiap aplikasi yang menggunakan FastAPI secara inheren ikut rentan. Ini termasuk vLLM dan LiteLLM, dua framework yang sangat populer untuk menjalankan dan mengelola model bahasa besar (LLM) secara lokal atau di server. Server MCP, yang menjadi jembatan antara agen AI dari penyedia besar dengan sumber data eksternal seperti basis data pengguna, akun email, kalender, dan berbagai sumber daya lainnya, juga terdampak karena menyimpan kredensial untuk setiap koneksi.

Ini berarti bahwa jutaan agen AI yang beroperasi di seluruh dunia, dari chatbot layanan pelanggan hingga alat otomasi bisnis, berpotensi dikompromikan jika server yang menjalankannya belum diperbarui.

Mitigasi dan Langkah yang Perlu Diambil

Perbaikan sudah tersedia melalui pembaruan ke Starlette versi 1.0.1 atau yang lebih baru. Bagi pengembang yang menggunakan FastAPI, vLLM, LiteLLM, atau framework lain yang bergantung pada Starlette, langkah pertama adalah memeriksa versi Starlette yang digunakan di proyek mereka dan segera melakukan pembaruan.

X41 D-Sec dan Nemesis juga menyediakan scanner online yang bisa digunakan untuk memeriksa apakah sebuah server rentan terhadap BadHost. Scanner ini tersedia di GitHub dan dapat digunakan oleh tim keamanan untuk melakukan audit terhadap infrastruktur mereka.

Bagi pengguna akhir yang menggunakan layanan berbasis AI, baik itu chatbot, asisten virtual, atau alat produktivitas, penting untuk memastikan bahwa penyedia layanan telah memperbarui dependensi mereka. Celah ini mengingatkan bahwa keamanan ekosistem AI tidak hanya bergantung pada model itu sendiri, tetapi juga pada fondasi perangkat lunak yang menopangnya.***