Introduction
Une vulnérabilité critique a été découverte dans le framework open source Starlette, utilisé par millions d'agents IA et d'outils à travers le monde. Cette faille de sécurité peut permettre aux hackers de compromettre les serveurs qui les exécutent et de voler des données sensibles ainsi que des informations d'identification pour des comptes tiers.
Contexte Technique
Starlette est un framework qui reçoit 325 millions de téléchargements par semaine et est utilisé comme base pour d'autres frameworks populaires tels que FastAPI. La vulnérabilité, connue sous le nom de BadHost (CVE-2026-48710), est facile à exploiter et affecte la plupart des systèmes qui ne sont pas protégés par un pare-feu correctement configuré. Elle permet à un attaquant d'injecter un caractère dans l'en-tête HTTP Host, ce qui contourne l'autorisation basée sur le chemin dans Starlette.
Les packages affectés incluent FastAPI, vLLM et LiteLLM, qui sont tous basés sur Starlette. La vulnérabilité a été découverte dans les versions de Starlette antérieures à la version 1.0.1, qui a été publiée récemment.
Analyse et Implications
La vulnérabilité BadHost présente un risque important pour la sécurité des données et des informations d'identification. Les serveurs MCP (Model Context Protocol) stockent des informations d'identification pour accéder à des sources externes, ce qui les rend particulièrement vulnérables aux attaques. La gravité de cette vulnérabilité est classée 7 sur 10, mais les chercheurs estiment que cette classification « sous-estime matériellement » la menace qu'elle pose.
Perspective
Il est essentiel de surveiller les mises à jour de sécurité pour Starlette et les packages qui en dépendent. Les utilisateurs doivent vérifier si leurs serveurs sont vulnérables en utilisant un outil de scan en ligne disponible. La correction de cette vulnérabilité est cruciale pour protéger les données sensibles et prévenir les attaques potentielles.
