Aller au contenu principal

CVE-2026-48710 — Patch de sécurité Starlette

· 3 minutes de lecture
Jordane Tartarin
Jordane Tartarin
Lead Tech - IA Solutions

Le 26 mai 2026, une vulnérabilité de sévérité moyenne (CVSS 6.5) a été publiée concernant Starlette, le framework ASGI léger utilisé notamment par FastAPI.

🔍 De quoi s'agit-il ?

Avant la version 1.0.1 de Starlette, l'en-tête HTTP Host n'était pas validé avant d'être utilisé pour reconstruire request.url. L'algorithme de routage s'appuie sur le chemin HTTP brut, tandis que request.url est reconstruit à partir de l'en-tête Host. Un en-tête malformé pouvait donc faire en sorte que request.url.path diffère du chemin réellement demandé.

Concrètement, cela signifie que :

  • Les middlewares et endpoints appliquant des restrictions de sécurité basées sur request.url (plutôt que sur le chemin brut du scope) pouvaient être contournés.
  • Un attaquant pouvait manipuler l'en-tête Host pour tromper les contrôles de sécurité reposant sur l'URL reconstruite.

🛡️ Ce que le patch corrige

La version 1.0.1 de Starlette apporte deux changements majeurs :

  1. Validation de l'en-tête Host selon la grammaire définie par la RFC 9112 §3.2 / RFC 3986 §3.2.2 lors de la construction de request.url.
  2. Fallback sur scope["server"] lorsque la valeur de l'en-tête Host est malformée, garantissant ainsi que request.url reflète toujours le serveur réellement contacté.

Notre réactivité : 3 jours entre la publication et le passage en prod

La sécurité de nos infrastructures et de nos clients est une priorité. Voici la timeline de notre réponse :

DateAction
26/05Publication de la CVE-2026-48710
27/05Patch disponible — mise à jour Starlette ≥ 1.0.1
28/05Déploiement en préproduction et tests de non-régression
29/05Déploiement en production ✅

Dès la publication de la CVE le 26 mai, nos équipes ont identifié l'impact sur nos services. Le 27 mai, un patch était déjà disponible côté Starlette. Nous l'avons intégré immédiatement et déployé en préproduction le 28 mai, où une campagne de tests de non-régression a été menée pour s'assurer de l'absence d'effets de bord. Après validation, le 29 mai, le correctif était déployé en production.

👉 3 jours seulement entre la publication de la vulnérabilité et sa résolution complète en production.

Un engagement continu

Cet épisode illustre notre engagement en matière de sécurité :

  • Veille proactive : nous surveillons les publications de CVE impactant nos dépendances.
  • Réactivité : nous appliquons les correctifs dans les plus brefs délais, avec un processus rigoureux de validation avant mise en production.
  • Transparence : nous informons nos utilisateurs des incidents et des actions menées.

La sécurité n'est pas un état, c'est un processus continu. Nous restons mobilisés pour garantir la protection de vos données et de vos services.

Mise à jours effectuée par
Jordane TartarinJordane Tartarin