Les chercheurs qui ont découvert le bug préviennent que sa note modérée sous-estime une menace qui s’étend aux passerelles LLM, aux serveurs MCP et à l’infrastructure des agents.
Un seul caractère mal formé dans une requête Web peut permettre à un attaquant non authentifié de contourner les contrôles d’accès qui protègent les applications construites sur Starlette, le framework Python open source qui alimente FastAPI, ont indiqué les chercheurs.
La faille, identifiée comme CVE-2026-48710, pourrait permettre aux attaquants de contourner les protections de validation de l’hôte à l’aide d’en-têtes Host malformés, selon un avis de la société de cybersécurité X41 D-Sec.
L’attaquant n’a besoin d’aucun mot de passe ni d’aucune action de la part de la victime, précise-t-il.
Le responsable de Starlette a publié un correctif via un avis de sécurité officiel de GitHub après que X41 D-Sec a révélé la vulnérabilité en coordination avec l’Open Source Technology Improvement Fund (OSTIF). Ils ont trouvé la faille lors d’un audit du code source sans rapport et l’ont retracée à Starlette plutôt qu’à l’application en cours d’examen.
« Ce bug est un ‘écart de responsabilité’ classique où si ce responsable n’apportait pas de correctif, des milliers de projets exposés devraient sécuriser individuellement leurs projets », a déclaré l’OSTIF.
Les chercheurs ont créé un site Web, badhost.org, qui peut tester la vulnérabilité des sites Web.
Exploiter le bug
La faille réside dans la façon dont Starlette reconstruit l’adresse d’une requête entrante, selon X41 D-Sec. Le framework joint l’en-tête Host envoyé par le client au chemin qui a été demandé pour former une URL complète, mais analyse la validité de l’ensemble et des parties en utilisant des règles différentes.
Selon les chercheurs, un en-tête Host contenant une barre oblique, un point d’interrogation ou un caractère dièse se déplace là où commence le chemin, de sorte que le chemin signalé par Starlette ne correspond plus à celui que le serveur a réellement reçu.
C’est dans cet écart que réside le risque, selon l’entreprise. Starlette achemine la requête vers le chemin réel, mais le middleware et les points de terminaison lisent celui modifié. Une application qui restreint les routes sensibles en vérifiant le chemin qu’elle voit peut laisser passer une requête tout en exécutant la route protégée derrière elle.
X41 D-Sec a publié une démonstration avec son avis. Les chercheurs ont envoyé une demande sur une page administrative protégée et ont reçu une réponse « 403 Forbidden ». Ils ont envoyé la même demande avec un caractère supplémentaire dans l’en-tête Host, et la page a renvoyé un « 200 OK ». Le même schéma est apparu dans d’autres failles récentes de contournement d’authentification dans les frameworks d’IA open source.
Cote de gravité contestée
Le responsable de Starlette a évalué la faille à 6,5 sur 10, ou modérée, sur l’échelle CVSS dans l’avis GitHub. X41 D-Sec lui a attribué une note de 7,0, soit Élevé, et a déclaré que le danger pour les logiciels construits sur Starlette était plus élevé que ne le suggèrent les deux chiffres.
Les dégâts qu’un attaquant peut causer dépendent de ce que chaque application fait avec le chemin forgé. X41 D-Sec a déclaré avoir trouvé plusieurs projets open source dont les contrôles de sécurité reposent sur l’adresse reconstruite. Dans ces projets, la faille d’un seul caractère pourrait entraîner « un contournement de l’authentification vers SSRF et d’autres problèmes qui, dans certains cas, conduisent même à l’exécution de code à distance sur le système affecté », ont écrit les chercheurs.
La portée s’étend bien au-delà de Starlette elle-même. Un avis distinct de la société de sécurité Secwest sur la faille a déclaré que le score « sous-estime considérablement l’impact en aval » et a averti que le bug touche « la plupart des infrastructures de serveur de modèles, de passerelles, de proxy, d’évaluation, d’agent et de serveur MCP qui ont été mises en place au cours des deux dernières années ».
Les logiciels concernés comprennent des outils de diffusion de modèles, des passerelles API, des proxys compatibles OpenAI, des cadres d’agents et des serveurs Model Context Protocol construits sur FastAPI, selon X41 D-Sec et Secwest.
Une application peut être exposée même si ses développeurs n’ont jamais installé Starlette, car un autre composant peut l’avoir fait, a déclaré X41 D-Sec. Starlette compte plus de 400 000 projets dépendants sur GitHub, selon la société.
Qui est le plus exposé
Tous les projets dépendants ne sont pas également menacés, a déclaré X41 D-Sec. La question de savoir si une application peut être attaquée dépend de son état. La ligne de démarcation est le proxy inverse : un proxy tel que nginx ou Apache HTTP Server rejette la requête mal formée avant qu’elle n’atteigne l’application, et les sites Web de production se trouvent généralement derrière une telle couche. Ce n’est souvent pas le cas des configurations de recherche, d’évaluation et de développement de logiciels d’IA, et nombre d’entre elles exécutent le serveur d’applications directement en face du réseau, indique-t-il.
Selon X41 D-Sec, trois groupes sont les plus exposés : ceux qui exécutent une application FastAPI ou Starlette directement sur un serveur d’applications sans proxy inverse conforme en face ; ceux exposant un proxy modèle tel que LiteLLM ou vLLM en tant que point de terminaison directement accessible ; et ceux dont le code de contrôle d’accès lit l’adresse de requête reconstruite plutôt que le chemin brut.
Les chercheurs ont conseillé aux équipes de passer à Starlette 1.0.1 ou version ultérieure, qui valide l’en-tête Host et rejette les valeurs mal formées.
