Vulnérabilité critique dans Starlette menace millions d'agents IA
Original : Millions of AI agents imperiled by critical vulnerability in open source package
Pourquoi c'est important
Menace majeure pour l'écosystème d'outils d'IA Python largement utilisés
Une faille de sécurité critique baptisée "BadHost" dans Starlette, un package open source avec 325 millions de téléchargements hebdomadaires, expose des millions d'agents IA. CVE-2026-48710 permet aux pirates d'accéder aux serveurs et voler des données sensibles.
La vulnérabilité BadHost (CVE-2026-48710) affecte Starlette, framework ASGI utilisé par FastAPI et d'autres projets Python populaires. Elle permet de contourner l'autorisation basée sur les chemins en injectant un seul caractère dans l'en-tête HTTP Host. Les serveurs MCP (Model Context Protocol) qui stockent les identifiants pour services externes sont particulièrement à risque. Les packages affectés incluent vLLM, LiteLLM et de nombreux outils d'IA. Secwest et X41 D-Sec ont découvert que des données exposées incluent bases de données d'essais cliniques, PII en direct, accès SSH aux appareils, et boîtes mail complètes. Starlette 1.0.1 publié vendredi corrige la faille.