Des millions d'agents IA menacés par une faille critique dans un paquet open source
Des millions d'agents IA menacés par une faille critique dans un paquet open source. « BadHost » a été découvert dans Starlette, un paquet téléchargé 325 millions de fois par semaine
Une faille de sécurité majeure, baptisée « BadHost », menace actuellement des millions d'agents d'IA utilisant le framework open source Starlette. Cette faille critique permet à des attaquants de contourner les systèmes d'authentification pour dérober des données sensibles ou prendre le contrôle de serveurs à distance. Le problème provient d'un défaut de validation des en-têtes HTTP, affectant des outils populaires comme FastAPI, vLLM et LiteLLM. Des secteurs variés, allant de la biopharmacie à la cybersécurité, sont exposés à des fuites massives d'informations personnelles et professionnelles. Les experts recommandent l'application rapide du correctif disponible.
Le chercheur en sécurité Markus Vervier met en garde contre une faille critique affectant Starlette, un framework open source utilisé par des millions d'agents et d'outils d'IA à travers le monde. Starlette est un framework open source téléchargé plus de 325 millions de fois par semaine ; il s'agit également d'une interface ASGI (Asynchronous Server Gateway Interface) capable de traiter efficacement un grand nombre de requêtes simultanément.
Starlette sert de base à de nombreux frameworks largement utilisés pour la création de services dans les applications Python, notamment FastAPI. Starlette a accès aux serveurs exécutant le MCP (Model Context Protocol). Le MCP permet aux agents IA des principaux fournisseurs d'accéder à des sources externes, notamment aux bases de données des utilisateurs, aux comptes de messagerie et d'agenda, ainsi qu'à toutes sortes d'autres ressources.
Pour se connecter à ces systèmes externes, chaque serveur MCP stocke des identifiants d'authentification. Les serveurs MCP constituent donc des cibles très prisées par les pirates. « Cette faille représente un goulot d'étranglement majeur pour la chaîne d'approvisionnement des produits d'IA », a écrit un internaute.
Une menace massive pour l'ensemble de l'écosystème de l'IA
Selon les experts en cybersécurité, la vulnérabilité découverte dans Starlette, « CVE-2026-48710 » (également connue sous le nom de BadHost), est très facile à exploiter et affecte la plupart des systèmes qui ne sont pas protégés par un pare-feu correctement configuré. Outre FastAPI, d'autres paquets largement utilisés, tels que vLLM et LiteLLM, sont aussi concernés. Starlette a déjà publié la version 1.0.1, qui corrige la vulnérabilité BadHost.
Le cœur du problème provient de la façon dont Starlette gère les requêtes entrantes : le framework reconstruit l'URL demandée sans vérifier rigoureusement la validité de l'en-tête HTTP Host. En injectant un simple caractère dans cet en-tête, un acteur malveillant crée une incohérence entre le chemin d'accès réseau réel et celui qui est analysé par les systèmes de sécurité de l'application, ce qui lui permet de contourner les mesures d'authentification.
Outre l'accès non autorisé, cette manipulation peut mener à des falsifications de requêtes côté serveur (SSRF) et parfois à l'exécution de code à distance. BadHost présente un niveau de gravité de 7 sur 10. Une analyse avait révélé que les types de données suivants étaient actuellement exposés :
- IA dans le secteur biopharmaceutique : bases de données d'essais cliniques, données sur les fusions-acquisitions, SSRF ;
- vérification d'identité : analyse faciale, KYB, données personnelles en temps réel, base de code interne ;
- IdO/industrie : connexion SSH aux appareils via un serveur bastion, exécution de code à distance ;
- e-mail/SaaS : lecture, envoi et suppression complets de la boîte de réception, exportation vers S3, webhooks ;
- RH/recrutement : données personnelles des candidats, données sur le pipeline de recrutement ;
- CMS/marketing : listes d’abonnés, envoi/planification de campagnes d’e-mails de masse ;
- gestion de documents : lecture, téléchargement, modification de documents numérisés ;
- surveillance du cloud : topologie AWS, traces distribuées, requêtes métriques ;
- cybersécurité : inventaire des actifs, accès en direct au scanner Nuclei ;
- santé personnelle/Finances : journaux nutritionnels, dépenses, abonnements.
Une gravité sous-estimée et des données critiques exposées
Bien que la BadHost ait reçu une note officielle de 7 sur 10, les cabinets de sécurité Secwest et X41 D-Sec affirment que ce score minimise largement le danger, considérant la menace comme étant d'une sévérité critique pour l'écosystème Python et l'IA. Ce qui signifie qu'un grand pan de l'industrie est exposé. X41 D-Sec s’est associé à la société de sécurité Nemesis pour créer un scanner en ligne capable de vérifier si un serveur donné est vulnérable.
Il est désormais impératif pour tous les administrateurs exploitant des applications dépendantes de ce composant de scanner d'urgence leurs infrastructures pour identifier toute trace de code vulnérable encore en production et d'appliquer les correctifs recommandés. Face à l'ampleur de la menace touchant les principaux paquets de l'IA comme vLLM ou LiteLLM, une mise à jour corrective a été déployée le 22 mai à travers la version 1.0.1 de Starlette.
Sources : outil de scan conçu par Nemesis et X41 D-Sec, BadHost (CVE-2026-48710)
Et vous ?
Quel est votre avis sur le sujet ?
Voir aussi
Répondre avec citation
Partager