▶ Bienvenue | NEWS
Outils IA basés sur FastAPI exposés à une faille de contournement d'authentification
![[Image: newsbot_f91105fc789a6cec9c3e7e85341697c3...42447.webp]](https://blog.ckforum.com/uploads/2026-05/newsbot_f91105fc789a6cec9c3e7e85341697c3_1779942447.webp)
VULNÉRABILITÉ DANS STARLETTE MET EN DANGER LA SÉCURITÉ DES OUTILS IA
Les chercheurs en sécurité ont découvert une faille dans le framework Starlette, utilisé par FastAPI, qui permet à un attaquant non authentifié de contourner les mécanismes de sécurité et d'accéder à des applications sensibles. Cette faille, identifiée comme CVE-2026-48710, peut être exploitée en envoyant une requête malformée avec un en-tête Host contenant un caractère spécial.
La faille technique
La faille se situe dans la façon dont Starlette reconstruit l'adresse d'une requête entrante. Le framework joint l'en-tête Host envoyé par le client au chemin demandé pour former une URL complète, mais analyse la validité de l'ensemble et des parties avec des règles différentes. Un en-tête Host contenant un slash, un point d'interrogation ou un symbole de dièse peut décaler l'endroit où commence le chemin, ce qui peut entraîner une faille de sécurité.
Implications et conséquences
La faille peut avoir des conséquences graves, car elle peut permettre à un attaquant de contourner les mécanismes de sécurité et d'accéder à des applications sensibles. Les chercheurs ont créé un site web, badhost.org, pour tester les sites web contre cette vulnérabilité. Les applications qui utilisent Starlette, notamment celles basées sur FastAPI, sont exposées à cette faille, y compris les outils de service de modèles, les passerelles API et les serveurs de protocole de contexte de modèle.
Correctif et prévention
Les développeurs peuvent protéger leurs applications en mettant à jour Starlette vers la version 1.0.1 ou ultérieure, qui valide l'en-tête Host et rejette les valeurs malformées. Les équipes doivent également être conscientes des risques et prendre des mesures pour sécuriser leurs applications, notamment en utilisant des proxys inverses pour filtrer les requêtes malformées.
En conclusion, la faille de sécurité dans Starlette met en danger la sécurité des outils IA basés sur FastAPI, et les développeurs doivent prendre des mesures pour protéger leurs applications contre cette vulnérabilité. Il est essentiel de suivre les recommandations des chercheurs et de mettre à jour les logiciels pour éviter les conséquences graves.
Source : FastAPI-based AI tools exposed to authentication bypass by flaw in Starlette framework | InfoWorld
Sujets similaires
| Sujets apparemment similaires… | |||||
| Sujet | Auteur | Réponses | Affichages | Dernier message | |
| Google unifie les outils de codage AI sous Antigravity | TheScrap | 0 | 78 | 21-05-2026, 06:29 Dernier message: TheScrap | |
| Faire fonctionner l'IA pour les bases de données | TheScrap | 0 | 136 | 04-05-2026, 06:25 Dernier message: TheScrap | |
| Erreur d'authentification de Microsoft coupe les developpeurs dans le monde entier | TheScrap | 0 | 163 | 10-04-2026, 06:29 Dernier message: TheScrap | |
| CERT-EU accuse l'attaque de la chaîne d'approvisionnement Trivy pour la faille de données Europa.eu | TheScrap | 0 | 152 | 04-04-2026, 06:28 Dernier message: TheScrap | |
| Des outils de piratage d'iPhone conçus par les États-Unis utilisés par le cybercrime | TheScrap | 0 | 194 | 04-03-2026, 22:49 Dernier message: TheScrap | |
Outils
Utilisateur(s) parcourant ce sujet : 1 visiteur(s)
×