CVE-2026-40891

Nome do Software Vulnerável e Versões Afetadas OpenTelemetry dotnet versões 1.13.1 a 1.15.1

Descrição Ao exportar telemetria via gRPC usando o OpenTelemetry Protocol (OTLP), o exportador pode analisar um trailer grpc-status-details-bin fornecido pelo servidor durante a manipulação de tentativas de reenvio. Um trailer malformado pode codificar um campo protobuf delimitado por comprimento extremamente grande (um método de serialização de dados estruturados) que é usado diretamente para alocação. Isso ocorre porque a função DecodeBytes() em GrpcStatusDeserializer decodifica um comprimento varint do protobuf e aloca um array de bytes sem validar os limites em relação ao tamanho do payload restante. Um coletor malicioso ou comprometido, ou um atacante man-in-the-middle, poderia retornar um payload manipulado para forçar a alocação excessiva de memória, levando à exaustão de memória e a um potencial negação de serviço (DoS), causando instabilidade ou travamento do processo.

Recomendações Atualizar para a versão 1.15.2.