- Secwest ha revelado CVE‑2026‑48710 (“BadHost”), una falla de alta gravedad en Starlet que permite a los atacantes eludir los controles de seguridad y explotar encabezados de host con formato incorrecto para filtrar datos confidenciales.
- Starlet sustenta marcos como FastAPI y está ampliamente implementado; Los investigadores advierten que una puntuación de 7/10 subestima el riesgo, exponiendo potencialmente los datos de agentes de IA, biofarmacia, IoT y SaaS.
- El error se corrigió en la versión 1.0.1, pero las compilaciones vulnerables siguen siendo comunes en producción, lo que hace que las actualizaciones y los análisis del entorno sean críticos.
Un marco web ligero de Python llamado Starlet conlleva una vulnerabilidad de alta gravedad que podría permitir a actores maliciosos extraer datos confidenciales de millones de agentes de inteligencia artificial, advirtieron los expertos.
Algunos investigadores incluso sugieren que las descripciones actuales de la falla no le hacen justicia porque es una de las fallas más grandes y potencialmente más perturbadoras de los últimos tiempos.
Starlet es una herramienta y marco web de Python diseñado para crear rápidamente aplicaciones web y API utilizando el estándar ASGI (Asynchronous Server Gateway Interface). Al ser de código abierto, recibe alrededor de 325 millones de descargas por semana y es la base de muchos frameworks populares (por ejemplo, FastAPI).
Badhost ha sido solucionado con un parche
Starlet tiene acceso a servidores que ejecutan el Model Context Protocol (MCP), un problema que permite a los agentes de IA buscar en la web o acceder a servicios de terceros. Para poder funcionar correctamente, la herramienta debe tener los permisos correctos y almacenar la contraseña correcta.
Los investigadores de seguridad SecWest encontraron una falla que permitía a los atacantes enviar un encabezado de ‘host’ falso o confuso (un fragmento de información utilizado por los sitios web para comprender a qué dirección se realizó una solicitud). En algunos casos, Starlet generará URL de solicitud utilizando estos datos falsos, lo que provocará que los controles de seguridad parezcan incorrectos.
El error se llama BadHost y ahora se rastrea como CVE-2026-48710. Se le asignó una puntuación de gravedad de 7/10 (alta) y se solucionó en la versión 1.0.1 de Starlet.
Para Secwest, darle a BadHost un 7/10 “subestima materialmente” la gravedad de la amenaza. Afirma que en este momento, los datos de IA biofarmacéutica, los datos de verificación de identidad, los datos industriales y de IoT, el correo electrónico, los datos de SaaS y más están expuestos.
Aunque solucionó el error, Starlet no hizo comentarios sobre los hallazgos. Ars Técnica Dice que las versiones vulnerables todavía son “ampliamente utilizadas” en los sistemas de producción y que las empresas deberían al menos escanear para ver si están en riesgo.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Obtenga nuestras noticias, reseñas y opiniones de expertos en su feed.
