Starlette: Path não validado permite controle de hostname via request.url

O caminho da requisição HTTP não é validado antes de ser usado para reconstruir request.url, permitindo que um atacante controle request.url.hostname e request.url.netloc fornecendo um caminho que não começa com '/' (ex.: @google.com).

Aplicações que usam Starlette e dependem de request.url, request.url.netloc ou request.url.hostname para decisões sensíveis de segurança (autorização baseada em host, base de redirecionamento/callback, alvo de SSRF, chave de cache, log de auditoria) e que não estão atrás de um proxy ou balanceador de carga que rejeite request-targets malformados.

Atualize para uma versão corrigida do Starlette que impeça o caminho da requisição de invadir a autoridade da URL.