CVE-2026-48710 — Patch de sécurité Starlette
Le 26 mai 2026, une vulnérabilité de sévérité moyenne (CVSS 6.5) a été publiée concernant Starlette, le framework ASGI léger utilisé notamment par FastAPI.
🔍 De quoi s'agit-il ?
Avant la version 1.0.1 de Starlette, l'en-tête HTTP Host n'était pas validé avant d'être utilisé pour reconstruire request.url. L'algorithme de routage s'appuie sur le chemin HTTP brut, tandis que request.url est reconstruit à partir de l'en-tête Host. Un en-tête malformé pouvait donc faire en sorte que request.url.path diffère du chemin réellement demandé.
Concrètement, cela signifie que :
- Les middlewares et endpoints appliquant des restrictions de sécurité basées sur
request.url(plutôt que sur le chemin brut duscope) pouvaient être contournés. - Un attaquant pouvait manipuler l'en-tête
Hostpour tromper les contrôles de sécurité reposant sur l'URL reconstruite.
🛡️ Ce que le patch corrige
La version 1.0.1 de Starlette apporte deux changements majeurs :
- Validation de l'en-tête
Hostselon la grammaire définie par la RFC 9112 §3.2 / RFC 3986 §3.2.2 lors de la construction derequest.url. - Fallback sur
scope["server"]lorsque la valeur de l'en-têteHostest malformée, garantissant ainsi querequest.urlreflète toujours le serveur réellement contacté.
Notre réactivité : 3 jours entre la publication et le passage en prod
La sécurité de nos infrastructures et de nos clients est une priorité. Voici la timeline de notre réponse :
| Date | Action |
|---|---|
| 26/05 | Publication de la CVE-2026-48710 |
| 27/05 | Patch disponible — mise à jour Starlette ≥ 1.0.1 |
| 28/05 | Déploiement en préproduction et tests de non-régression |
| 29/05 | Déploiement en production ✅ |
Dès la publication de la CVE le 26 mai, nos équipes ont identifié l'impact sur nos services. Le 27 mai, un patch était déjà disponible côté Starlette. Nous l'avons intégré immédiatement et déployé en préproduction le 28 mai, où une campagne de tests de non-régression a été menée pour s'assurer de l'absence d'effets de bord. Après validation, le 29 mai, le correctif était déployé en production.
👉 3 jours seulement entre la publication de la vulnérabilité et sa résolution complète en production.
Un engagement continu
Cet épisode illustre notre engagement en matière de sécurité :
- Veille proactive : nous surveillons les publications de CVE impactant nos dépendances.
- Réactivité : nous appliquons les correctifs dans les plus brefs délais, avec un processus rigoureux de validation avant mise en production.
- Transparence : nous informons nos utilisateurs des incidents et des actions menées.
La sécurité n'est pas un état, c'est un processus continu. Nous restons mobilisés pour garantir la protection de vos données et de vos services.