Katalog CVE

CVE-2026-54282

NiskieCVSS 3.7
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.19%

Percentyl 9 — wyżej niż 9% wszystkich znanych CVE

Streszczenie

W Starlette przed wersją 1.3.0 ścieżka żądania HTTP nie jest walidowana przed użyciem do rekonstrukcji request.url. Ponieważ request.url jest odtwarzane przez konkatenację {scheme}://{host}{path} i ponowne parsowanie wyniku, ścieżka nie zaczynająca się od / (np. @google.com) przesuwa granicę autorytetu podczas ponownego parsowania, przez co request.url.hostname i request.url.netloc stają się kontrolowane przez atakującego.

Ocena ryzyka

Kod odczytujący request.url.hostname (zamiast nagłówka Host lub scope) może zostać wprowadzony w błąd i zaufać hostowi dostarczonemu przez atakującego, co może prowadzić do ataków typu phishing, przekierowań lub naruszenia integralności sesji.

Rekomendacja

Należy niezwłocznie zaktualizować Starlette do wersji 1.3.0 lub nowszej, która zawiera poprawkę walidującą ścieżkę żądania przed rekonstrukcją URL.

Oryginalny opis (angielski, źródło NVD)

Starlette is a lightweight ASGI framework/toolkit. Prior to 1.3.0, the HTTP request path is not validated before being used to reconstruct request.url. Because request.url is rebuilt by concatenating {scheme}://{host}{path} and re-parsing the result, a path that does not begin with / (for example @google.com) moves the authority boundary during re-parsing, so request.url.hostname and request.url.netloc become attacker-controlled. Code that reads request.url.hostname (rather than the Host header or scope) can therefore be misled into trusting an attacker-supplied host. This vulnerability is fixed in 1.3.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS