PT-2026-31016 · Opentelemetry · Opentelemetry-Go

1Seal

·

Publicado

2026-04-07

·

Atualizado

2026-05-21

·

CVE-2026-29181

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Nome do Software Vulnerável e Versões Afetadas OpenTelemetry-Go versões 1.36.0 até 1.40.0
Descrição A implementação OpenTelemetry-Go é suscetível a um problema de amplificação de requisições remotas devido à forma como lida com os cabeçalhos baggage de múltiplos valores. Especificamente, a função extractMultiBaggage em propagation/baggage.go analisa cada valor de campo de cabeçalho baggage independentemente e agrega os resultados. Um invasor pode explorar isso enviando inúmeras linhas de cabeçalho baggage, mesmo que cada valor individual esteja dentro do limite de 8192 bytes, levando ao aumento do uso da CPU e alocações de memória. Isso pode resultar em maior latência e potenciais condições de negação de serviço. A vulnerabilidade está relacionada à análise de cabeçalhos recebidos em requisições HTTP. A função vulnerável é extractMultiBaggage.
Recomendações Atualize para a versão 1.41.0 ou posterior.

Correção

DoS

Allocation of Resources Without Limits

Resource Exhaustion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-770CWE-400

Identificadores relacionados

CLEANSTART-2026-BR79647
CLEANSTART-2026-DH72490
CLEANSTART-2026-EI06494
CLEANSTART-2026-GB36430
CLEANSTART-2026-GJ69402
CLEANSTART-2026-GQ00159
CLEANSTART-2026-GZ35045
CLEANSTART-2026-JQ70227
CLEANSTART-2026-LA07853
CLEANSTART-2026-LG79681
CLEANSTART-2026-MJ60235
CLEANSTART-2026-MV81821
CLEANSTART-2026-NT80635
CLEANSTART-2026-OD56729
CLEANSTART-2026-OX51942
CLEANSTART-2026-QO29688
CLEANSTART-2026-QR52625
CLEANSTART-2026-QX43073
CLEANSTART-2026-RZ44006
CLEANSTART-2026-TH33219
CLEANSTART-2026-UY49411
CVE-2026-29181
GHSA-MH2Q-Q3FH-2475

Produtos afetados

Opentelemetry-Go