Douglasheriot

**Nome do software vulnerável e versões afetadas** Versões do OpenTelemetry Collector anteriores à v0.108.0 **Descrição** O módulo `awsfirehosereceiver` do OpenTelemetry Collector permite solicitações remotas não autenticadas, mesmo quando configurado para exigir uma chave. Esse módulo pode ser usado para receber métricas do CloudWatch por meio de um fluxo do AWS Firehose e define o cabeçalho `X-Amz-Firehose-Access-Key` com uma string configurada arbitrariamente. No entanto, quando essa chave é configurada, o módulo ainda aceita solicitações recebidas sem chave. Existe o risco de usuários não autorizados gravarem métricas, e métricas cuidadosamente elaboradas poderiam ocultar outras atividades maliciosas. É provável que esses endpoints fiquem expostos à internet pública, já que o Firehose não suporta endpoints HTTP privados. **Recomendações** Para versões do OpenTelemetry Collector anteriores à v0.108.0, atualize para a versão v0.108.0 ou posterior para corrigir a vulnerabilidade. Como solução alternativa temporária, considere desativar o módulo `awsfirehosereceiver` até que um patch esteja disponível. Restrinja o acesso ao módulo vulnerável para minimizar o risco de exploração. Evite usar o cabeçalho `X-Amz-Firehose-Access-Key` no endpoint da API afetado até que o problema seja resolvido.