Une faille de sécurité baptisée « BadHost » a été rendue publique, référencée sous le numéro CVE-2026-48710. Elle touche le framework web asynchrone Starlette, largement utilisé dans l'écosystème Python pour la construction d'applications performantes.
La vulnérabilité est décrite comme un contournement d'authentification par manipulation de l'en-tête Host. En exploitant cette faiblesse, un attaquant pourrait potentiellement usurper des requêtes et accéder à des ressources protégées sans disposer des droits nécessaires.
L'information a été partagée sur une plateforme technique où elle a suscité un certain intérêt de la communauté, avec une note de 16 et quatre commentaires à ce jour. Un article détaillant la technique d'attaque est accessible en ligne.
Les utilisateurs de Starlette sont invités à surveiller les mises à jour du projet. Aucun correctif officiel n'a encore été publié par les mainteneurs du framework. Il est recommandé de vérifier les configurations d'authentification et, si possible, de mettre en place des contrôles supplémentaires sur l'en-tête Host en attendant un correctif.
