Une faille de sécurité expose des millions de serveurs d’agents IA
Une vulnérabilité dans Starlette, un framework Python utilisé de manière inconsciente par de nombreux développeurs, a permis l’accès non autorisé à des millions de serveurs d’agents d’intelligence artificielle (IA). Des informations sensibles, telles que des boîtes mail, des bases de données médicales et des équipements industriels, étaient accessibles sans aucune protection par mot de passe.
Cette faille de sécurité, identifiée sous la référence CVE-2026-48710 et surnommée « BadHost », réside dans Starlette, qui est un framework open source téléchargé environ 325 millions de fois par semaine.
La majorité des utilisateurs de Starlette ne connaissent pas son existence. Pourtant, il constitue la base de plusieurs projets populaires, tels que FastAPI, vLLM et LiteLLM, intégrant ainsi des milliers de projets sans que les développeurs en soient nécessairement conscients.
Les équipes de X-41DSec ont découvert cette vulnérabilité lors d’un audit de code en janvier dernier. Le patch correctif a été publié le 22 mai 2026.
Nature des informations exposées
Les serveurs affectés, appelés serveurs MCP (Model Context Protocol), permettent aux agents IA d’accéder à diverses ressources externes, notamment des boîtes mail et des bases de données. Compromettre un serveur MCP pourrait donner accès à toutes les ressources auxquelles l’agent est connecté.
D’après X-41DSec, les données exposées incluent des informations critiques, telles que des bases de données d’essais cliniques, des données biométriques, ainsi que des accès SSH à des équipements industriels. Ces systèmes, en production, étaient accessibles via un header HTTP malformé.
Mécanisme de la vulnérabilité
Le problème réside dans la manière dont Starlette reconstruit l’URL d’une requête à partir du header HTTP Host envoyé par le client, sans valider sa légitimité. Cela permet à un attaquant d’injecter un chemin supplémentaire, trompant ainsi le système d’authentification. Par conséquent, aucun mot de passe n’est requis, et aucune action de la part de la victime n’est nécessaire.
Réponse et mise à jour
Le patch Starlette 1.0.1, publié le 22 mai, corrige cette vulnérabilité. Cependant, toutes les versions antérieures restent affectées. Le score de sévérité officiel est de 7/10, considéré comme sous-estimé par certains chercheurs.
Les équipes utilisant FastAPI, vLLM ou LiteLLM doivent non seulement mettre à jour Starlette, mais aussi vérifier l’ensemble de la chaîne de dépendances pour s’asr qu’aucun projet n’intègre Starlette de manière non explicite. X-41 D-Sec et Nemesis ont mis en ligne un scanner public pour tester si un serveur est toujours vulnérable.
Source : X-41DSec
