PT-2026-43329 · Litellm+3 · Litellm+3

Ehhthing

+2

·

Publicado

2026-01-27

·

Atualizado

2026-07-10

·

CVE-2026-48710

CVSS v3.1

6.5

Média

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
Nome do Software Vulnerável e Versões Afetadas Starlette versões anteriores a 1.0.1
Descrição O Starlette, um framework ASGI (Asynchronous Server Gateway Interface) leve, não valida o cabeçalho de requisição HTTP Host antes de utilizá-lo para reconstruir a request.url. Enquanto o algoritmo de roteamento utiliza o caminho HTTP bruto, a request.url é reconstruída a partir do cabeçalho Host. Um invasor pode enviar um cabeçalho Host especialmente manipulado contendo caracteres como /, ? ou # para alterar os limites do caminho durante a reanálise. Isso cria uma discrepância onde a request.url.path difere do caminho realmente solicitado. Consequentemente, restrições de segurança, como middlewares de autenticação baseados em caminho que dependem da request.url em vez do caminho bruto do scope, podem ser ignoradas, permitindo potencialmente acesso não autorizado a endpoints protegidos ou execução remota de código através de intermediários confiáveis em infraestruturas de IA, como gateways MCP.
Recomendações Atualize para a versão 1.0.1 ou posterior. Como solução temporária, substitua o uso de request.url.path por scope["path"] no middleware. Implante um proxy reverso que valide ou normalize os cabeçalhos Host antes que eles cheguem à aplicação. Mova a lógica de autenticação do middleware baseado em caminho para a função Depends() do FastAPI.

Exploit

Correção

RCE

DoS

HTTP Request/Response Smuggling

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

BDU:2026-07402
CLEANSTART-2026-AZ09261
CLEANSTART-2026-MR94452
CLEANSTART-2026-NN42198
CVE-2026-48710
ECHO-8103-2B4D-A762
GHSA-86QP-5C8J-P5MR
OPENSUSE-SU-2026:11026-1
OPENSUSE-SU-2026:11044-1
OPENSUSE-SU-2026:20975-1
PYSEC-2026-161
SUSE-SU-2026:22151-1
X41-2026-002

Produtos afetados

Fastapi
Litellm
Starlette
Vllm