CVE-2026-41173

Name of the Vulnerable Software and Affected Versions OpenTelemetry.Sampler.AWS versões anteriores a 0.1.0-alpha.8 OpenTelemetry.Resources.AWS versões anteriores a 1.15.1

Description OpenTelemetry.Sampler.AWS e OpenTelemetry.Resources.AWS leem corpos de resposta HTTP ilimitados de endpoints configurados para a memória. No OpenTelemetry.Sampler.AWS, a função AWSXRaySamplerClient.DoRequestAsync chama HttpClient.SendAsync seguido de ReadAsStringAsync(), o que materializa todo o corpo da resposta em uma única string na memória sem limite de tamanho. O endpoint de amostragem é configurável via AWSXRayRemoteSamplerBuilder.SetEndpoint (padrão: 'http://localhost:2000'). No OpenTelemetry.Resources.AWS, as funções AWSEC2Detector(), AWSECSDetector() e AWSEKSDetector() fazem requisições HTTP para serviços de metadados da AWS ('http://169.254.169.254', ECS CONTAINER METADATA URI/ECS CONTAINER METADATA URI V4 ou 'https://kubernetes.default.svc'). Um invasor que controle esses endpoints ou realize um ataque de Man-in-the-Middle (MitM) pode retornar um corpo de resposta arbitrariamente grande, causando alocação de heap ilimitada. Isso leva a uma alta pressão de memória transitória, interrupções na coleta de lixo (garbage-collection) ou uma OutOfMemoryException que encerra o processo, resultando em Negação de Serviço (DoS).

Recommendations Atualize o OpenTelemetry.Sampler.AWS para a versão 0.1.0-alpha.8. Atualize o OpenTelemetry.Resources.AWS para a versão 1.15.1. Garanta que o endpoint de amostragem do X-Ray não esteja acessível a partes não confiáveis. Use controles de nível de rede, como regras de firewall, mTLS ou service mesh, para evitar ataques de Man-in-the-Middle (MitM) no endpoint de amostragem e nas conexões EC2/ECS/EKS. Coloque endpoints remotos atrás de um proxy reverso que imponha um limite de tamanho para o corpo da resposta.