Vulnérabilité haute sévérité dans Starlette : contournement d'authentification via Host Header non validé
🔍 Contexte Le 22 mai 2026, X41 D-Sec GmbH publie l’advisory X41-2026-002 concernant une vulnérabilité de sévérité haute (CVSS 4.0 : 7.0) affectant le framework Python Starlette, découverte lors d’un audit de code source sans rapport direct le 27 janvier 2026. 🐛 Vulnérabilité Starlette reconstruit l’URL cliente à partir du header HTTP Host et du chemin de la requête selon le schéma f"{scheme}://{host_header}{path}", sans valider le contenu du header Host conformément à la RFC 9112 Section 3.2. ...