CVE-2024-32028

Versões do OpenTelemetry.Instrumentation.Http anteriores à 1.8.1

Versões do OpenTelemetry.Instrumentation.AspNetCore anteriores à 1.8.1

O problema diz respeito aos componentes OpenTelemetry.Instrumentation.Http e OpenTelemetry.Instrumentation.AspNetCore do framework OpenTelemetry dotnet. Nas versões afetadas, os atributos/tags url.full e url.query são gravados em spans (Activity) quando o rastreamento está habilitado para solicitações HTTP de saída e de entrada, respectivamente. Esses atributos, definidos pelas Convenções Semânticas para Spans HTTP, podem transmitir strings de consulta brutas, levando potencialmente ao vazamento de informações confidenciais, como Informações de Identificação do Usuário Final (EUII) ou credenciais, para back-ends de telemetria. Isso pode causar incidentes de privacidade e/ou segurança.

Para resolver o problema, atualize para a versão 1.8.1 ou posterior do OpenTelemetry.Instrumentation.Http e do OpenTelemetry.Instrumentation.AspNetCore, pois essas versões ocultam por padrão todos os valores detectados em strings de consulta transmitidas ou recebidas.

Para versões anteriores à 1.8.1, considere desativar temporariamente o rastreamento de solicitações HTTP ou restringir o acesso a informações confidenciais até que seja possível realizar a atualização.