Codywilliamson

**Nome do Software Vulnerável e Versões Afetadas** OpenTelemetry.Exporter.OpenTelemetryProtocol versões 1.8.0 a 1.15.2 **Descrição** O recurso de repetição em disco OTLP retorna silenciosamente para `Path.GetTempPath()` quando `OTEL DOTNET EXPERIMENTAL OTLP RETRY` está definido como `disk`, mas `OTEL DOTNET EXPERIMENTAL OTLP DISK RETRY DIRECTORY PATH` não está configurado. O exportador armazena e carrega arquivos `*.blob` em subdiretórios fixos (`traces`, `metrics`, `logs`) dentro desse caminho raiz temporário compartilhado. Em sistemas multiusuário onde o diretório temporário é acessível a outras contas locais, isso permite que um invasor escreva arquivos `*.blob` manipulados, que a função `OtlpExporterPersistentStorageTransmissionHandler()` então encaminha para o endpoint OTLP sob a identidade do aplicativo. Além disso, invasores podem ler arquivos `*.blob` para recuperar cargas úteis de telemetria codificadas ou depositar inúmeros arquivos superdimensionados para consumir espaço em disco e degradar o desempenho do loop de repetição. **Recomendações** Atualize para a versão 1.15.3. Configure um diretório dedicado com ACL/propriedade estritas e privilégios mínimos para `OTEL DOTNET EXPERIMENTAL OTLP DISK RETRY DIRECTORY PATH` para garantir que não seja compartilhado entre usuários. Evite habilitar a repetição em disco em ambientes compartilhados.