Homanp

**Nome do Software Vulnerável e Versões Afetadas** opentelemetry-js versões anteriores a 0.217.0 **Description** Uma única requisição HTTP malformada pode travar qualquer processo Node.js que execute o exportador Prometheus do OpenTelemetry JS. O endpoint de métricas (padrão '0.0.0.0:9464') não possui tratamento de erros durante a análise da URL. Quando uma requisição com uma URI inválida é recebida, a função ` requestHandler` chama o construtor `URL`, que lança um `TypeError` não capturado, resultando em uma negação de serviço. Isso ocorre porque o analisador HTTP aceita URIs de forma absoluta para compatibilidade de proxy, e um valor como "http://" dispara a exceção. O endpoint não possui autenticação por design e vincula-se a '0.0.0.0' por padrão, tornando-o acessível a qualquer cliente de rede. **Recommendations** Atualize o `@opentelemetry/exporter-prometheus` e o `@opentelemetry/sdk-node` para a versão 0.217.0 ou posterior. Atualize o `@opentelemetry/auto-instrumentations-node` para a versão 0.75.0 ou posterior. Restrinja o acesso ao endpoint de métricas para que ele não seja acessível por clientes de rede não confiáveis ou não autenticados, como configurar a opção `host` para '127.0.0.1'. Use um firewall ou política de rede para restringir o acesso à porta '9464' apenas a hosts de coleta do Prometheus confiáveis. Coloque o endpoint atrás de um proxy reverso para filtrar ou validar as requisições recebidas.