CVE-2025-27513

Nome do Software Vulnerável e Versões Afetadas OpenTelemetry.Api versões 1.10.0 a 1.11.1

Descrição Uma vulnerabilidade no OpenTelemetry.Api pode causar uma Negação de Serviço (DoS) quando os cabeçalhos tracestate e traceparent são recebidos. Este problema impacta qualquer aplicação acessível via web ou serviços de back-end que processam requisições HTTP contendo um cabeçalho tracestate. A aplicação pode apresentar consumo excessivo de recursos, levando ao aumento da latência, degradação do desempenho ou indisponibilidade.

Recomendações Para resolver o problema, atualize para a versão 1.11.2 do OpenTelemetry.Api executando o comando dotnet add package OpenTelemetry --version 1.11.2. Para o OpenTelemetry .NET Automatic Instrumentation, atualize para a versão 1.11.0. Como solução alternativa temporária, considere restringir o acesso ao pacote vulnerável OpenTelemetry.Api até que uma correção esteja disponível. Evite usar os cabeçalhos tracestate e traceparent em requisições HTTP até que o problema seja resolvido.