CVE-2026-40894

Name of the Vulnerable Software and Affected Versions OpenTelemetry.Api versões 0.5.0-beta.2 até 1.15.2 OpenTelemetry.Extensions.Propagators versões 1.3.1 até 1.15.2

Description Detalhes de implementação do código de processamento de baggage, B3 e Jaeger nos pacotes NuGet OpenTelemetry.Api e OpenTelemetry.Extensions.Propagators podem alocar memória excessiva durante a análise. Isso ocorre porque certos métodos alocam arrays intermediários ansiosamente antes de aplicar os limites de tamanho, e a função BaggagePropagator.Inject<T>() pode não impor os limites de comprimento quando o baggage injetado contém apenas um item. Esse comportamento pode levar a uma negação de serviço (DoS) no aplicativo consumidor ao processar cabeçalhos de propagação excessivamente grandes ou malformados. As funções afetadas incluem BaggagePropagator.Extract<T>(), BaggagePropagator.Inject<T>(), B3Propagator.Extract<T>() e JaegerPropagator.Extract<T>().

Recommendations Atualizar o OpenTelemetry.Api para a versão 1.15.3. Atualizar o OpenTelemetry.Extensions.Propagators para a versão 1.15.3. Configurar limites apropriados para cabeçalhos de requisição HTTP. Desativar a propagação de baggage ou de rastreamento como uma solução temporária.