![[Image: newsbot_f91105fc789a6cec9c3e7e85341697c3...42447.webp]](https://blog.ckforum.com/uploads/2026-05/newsbot_f91105fc789a6cec9c3e7e85341697c3_1779942447.webp)
VULNÉRABILITÉ DANS STARLETTE MET EN DANGER LA SÉCURITÉ DES OUTILS IA
Les chercheurs en sécurité ont découvert une faille dans le framework Starlette, utilisé par FastAPI, qui permet à un attaquant non authentifié de contourner les mécanismes de sécurité et d'accéder à des applications sensibles. Cette faille, identifiée comme CVE-2026-48710, peut être exploitée en envoyant une requête malformée avec un en-tête Host contenant un caractère spécial.
La faille technique
La faille se situe dans la façon dont Starlette reconstruit l'adresse d'une requête entrante. Le framework joint l'en-tête Host envoyé par le client au chemin demandé pour former une URL complète, mais analyse la validité de l'ensemble et des parties avec des règles différentes. Un en-tête Host contenant un slash, un point d'interrogation ou un symbole de dièse peut décaler l'endroit où commence le chemin, ce qui peut entraîner une faille de sécurité.
Implications et conséquences
La faille peut avoir des conséquences graves, car elle peut permettre à un attaquant de contourner les mécanismes de sécurité et d'accéder à des applications sensibles. Les chercheurs ont créé un site web, badhost.org, pour tester les sites web contre cette vulnérabilité. Les applications qui utilisent Starlette, notamment celles basées sur FastAPI, sont exposées à cette faille, y compris les outils de service de modèles, les passerelles API et les serveurs de protocole de contexte de modèle.
Correctif et prévention
Les développeurs peuvent protéger leurs applications en mettant à jour Starlette vers la version 1.0.1 ou ultérieure, qui valide l'en-tête Host et rejette les valeurs malformées. Les équipes doivent également être conscientes des risques et prendre des mesures pour sécuriser leurs applications, notamment en utilisant des proxys inverses pour filtrer les requêtes malformées.
En conclusion, la faille de sécurité dans Starlette met en danger la sécurité des outils IA basés sur FastAPI, et les développeurs doivent prendre des mesures pour protéger leurs applications contre cette vulnérabilité. Il est essentiel de suivre les recommandations des chercheurs et de mettre à jour les logiciels pour éviter les conséquences graves.
Source : FastAPI-based AI tools exposed to authentication bypass by flaw in Starlette framework | InfoWorld