CVE-2026-48710

Nome do Software Vulnerável e Versões Afetadas Starlette versões anteriores a 1.0.1

Description O Starlette não valida o cabeçalho de requisição HTTP Host antes de utilizá-lo para reconstruir a request.url. Enquanto o algoritmo de roteamento utiliza o caminho HTTP bruto, a request.url é reconstruída a partir do cabeçalho Host. Um invasor pode injetar caracteres como /, ? ou # no cabeçalho Host para alterar os limites de caminho, consulta ou fragmento durante a re-análise. Isso faz com que o request.url.path seja diferente do caminho realmente solicitado. Consequentemente, middlewares e endpoints que aplicam restrições de segurança baseadas em request.url (ou request.url.path) em vez do caminho scope bruto podem ser ignorados. Este problema, apelidado de "BadHost", pode levar ao acesso não autorizado a endpoints protegidos, falsificação de requisição do lado do servidor (SSRF) e execução remota de código em certos ambientes, afetando particularmente a infraestrutura de IA como FastAPI, vLLM, LiteLLM e servidores MCP.

Recommendations Atualize para a versão 1.0.1 ou posterior. Como solução temporária, substitua o uso de request.url.path por scope["path"] no middleware. Implemente um proxy reverso que valide ou normalize os cabeçalhos Host antes de encaminhar as requisições. Transfira a autenticação de middlewares baseados em caminho para a função Depends() do FastAPI.