Les chercheurs de
X41 D-Sec
viennent de divulguer une faille critique baptisée BadHost (CVE-2026-48710) dans Starlette, le framework Python qui sert de fondation à FastAPI,
vLLM
,
LiteLLM
et une grande partie des serveurs MCP basés sur FastAPI.
325 millions de téléchargements par semaine, et il suffit d’injecter un seul caractère dans le header HTTP “Host” pour contourner les contrôles d’accès path-based qui lisent “request.url.path” dont autant dire que beaucoup de déploiements d’agents IA en production tournent en ce moment avec une porte d’entrée très mal verrouillée.
Matt Mullenweg vient de publier un billet anniversaire des 23 ans de WordPress, et ce qui devait ressembler à une célébration tient plus de l’appel au secours. Et j’avoue qu’à lecture, ça m’a mis un petit coup au moral… Parce que oui, le créateur de WordPress est épuisé à cause de 19 mois de guerre juridique…
Côté chiffres pourtant, le post commence très bien. WordPress 7 est sorti la semaine dernière, et en sept jours, 46% des installations sont déjà passées en 7.0 sans aucune casse. Du Raspberry Pi au site de la Maison Blanche, en passant par Korben.info, pas un wp-config.php à éditer à la main, pas un cron à relancer, pas un fichier .htaccess à toucher, TOUT A FONCTIONNÉ !!