-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### Titel : Kwetsbaarheid verholpen in Starlette Advisory ID : NCSC-2026-0171 Versie : 1.00 Kans : high CVE ID : CVE-2026-48710 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: https://cve.mitre.org/cve/) Schade : medium Inconsistent Interpretation of HTTP Requests ('HTTP Request/Response Smuggling') Uitgiftedatum : 20260529 Toepassing : Kludex starlette Versie(s) : Platform(s) : Beschrijving Er is een kwetsbaarheid verholpen in Starlette, een Python-library voor het ontwikkelen van webservices. Starlette wordt door verschillende producten gebruikt, waaronder FastAPI. Een ongeauthenticeerde kwaadwillende kan de kwetsbaarheid misbruiken voor het omzeilen van authenticatie. Hierdoor kan de kwaadwillende afgeschermde URL-paden benaderen. Zodoende krijgt de kwaadwillende ongeauthenticeerde toegang tot functionaliteiten of data van een webservice die een kwetsbare Starlette-versie gebruikt. De kwetsbaarheid wordt veroorzaakt doordat het pad in de Host-header onvoldoende wordt geverifieerd. De mogelijke impact van misbruik is afhankelijk van het soort data dat door een kwetsbare webservice wordt verwerkt en de functionaliteiten die deze service biedt. Mogelijke oplossingen De kwetsbaarheid is verholpen in Starlette versie 1.0.1. Applicaties die Startelle gebruiken, dienen Starlette bij te werken naar deze of een latere versie. Indien jouw organisatie applicaties gebruikt waar Starlette onderdeel van is, zoals FastAPI, dan ben je voor beveiligingsupdates mogelijk afhankelijk van je leverancier. Wanneer een van je applicaties een kwetsbare versie van Starlette gebruikt en het niet mogelijk is om Starlette te updaten, kan de kans op misbruik worden beperkt door de kwetsbare applicatie niet naar het internet te ontsluiten of authenticatie via een reverse proxy in te regelen. Lees de bijgevoegde referenties voor meer informatie. Referenties: Reference https://badhost.org/ Reference https://github.com/Kludex/starlette/security/advisories/GHSA-86qp- 5c8j-p5mr Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- iQGzBAEBCgAdFiEEGSwziqblmmRNtImqgupWoL0ZhGEFAmoZ5EEACgkQgupWoL0Z hGHiVQv+JwmAb4maH9W8uZC4os8FzPh7OHomKdfHkhHuY6W14SOdCTjqU/MefGD2 S748ji2aiJT1Z7puIiJILNyVsDfLvkJ4H37qZd59/wNWNehzVc96nDNsCFIVVUco DbFPdxfbvJjvrP+jgPC/VWtd5Vw36clHnWQ07Z+qTWRjU40ueShx08DlTVub+l/A LSj/J0F6gzKXuhxW83jGi98ST8QpjWd/cYhfxStPfhB0I4pkgw7ohfZCLw0wWsuq ADQ1W54ePpXHIXpeq/FPo4KT8ubswFlv9bz41QwJN7s60qqzkQlPdpj94DqBU61H NVSMYtz02MV55qI0tqTYn/Ql9KgGGJRB4Vv/X8VjSQ668N4C1zp0nryysRD+vDFS cVufagceyouWyiKcvK30Zb6HqV8WmrYwAOSZuw159CbMb0YnJCsCZZU1JT7kgIjD 4nZmKhbBWqzyzLIP4H8Pjx8OtEozgx73qmcR+QekHCNb7SBNmzyK+bAfHYrBWg0q FDl/bN/9 =Hi2X -----END PGP SIGNATURE-----