A vulnerability in the Starlette Python web framework (CVE-2025-53019, CVSS 7.5 High) allows unauthenticated attackers to bypass authentication and access protected URL paths by exploiting insufficient validation of the path component in the Host header. Affected versions are Starlette <0.37.2, which also impacts dependent frameworks like FastAPI. The fix is to upgrade Starlette to version 0.37.2.
Er is een kwetsbaarheid verholpen in Starlette, een Python-library voor het ontwikkelen van webservices. Starlette wordt door verschillende producten gebruikt, waaronder FastAPI. Een ongeauthenticeerde kwaadwillende kan de kwetsbaarheid misbruiken voor het omzeilen van authenticatie. Hierdoor kan de kwaadwillende afgeschermde URL-paden benaderen. Zodoende krijgt de kwaadwillende ongeauthenticeerde toegang tot functionaliteiten of data van een webservice die een kwetsbare Starlette-versie gebruikt. De kwetsbaarheid wordt veroorzaakt doordat het pad in de Host-header onvoldoende wordt geverifieerd. De mogelijke impact van misbruik is afhankelijk van het soort data dat door een kwetsbare webservice wordt verwerkt en de functionaliteiten die deze service biedt.