https://cyberveille.ch/tags/host-header-injection/ Recent content in Host Header Injection on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Wed, 27 May 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-05-27-vulnerabilite-haute-severite-dans-starlette-contournement-d-authentification-via-host-header-non-valide/ Wed, 27 May 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-05-27-vulnerabilite-haute-severite-dans-starlette-contournement-d-authentification-via-host-header-non-valide/ <h2 id="-contexte">🔍 Contexte</h2> <p>Le 22 mai 2026, X41 D-Sec GmbH publie l&rsquo;advisory <strong>X41-2026-002</strong> concernant une vulnérabilité de sévérité <strong>haute</strong> (CVSS 4.0 : 7.0) affectant le framework Python <strong>Starlette</strong>, découverte lors d&rsquo;un audit de code source sans rapport direct le 27 janvier 2026.</p> <h2 id="-vulnérabilité">🐛 Vulnérabilité</h2> <p>Starlette reconstruit l&rsquo;URL cliente à partir du header HTTP <code>Host</code> et du chemin de la requête selon le schéma <code>f&quot;{scheme}://{host_header}{path}&quot;</code>, <strong>sans valider le contenu du header <code>Host</code></strong> conformément à la RFC 9112 Section 3.2.</p>