CVE-2026-41483

Nome do Software Vulnerável e Versões Afetadas OpenTelemetry.Resources.Azure versões anteriores a 1.15.0-beta.2

Descrição A função AzureVmMetaDataRequestor() faz requisições HTTP para o serviço de metadados de instância de VM do Azure e lê o corpo da resposta na memória sem limite de tamanho. Um invasor que controle o endpoint configurado ou intercepte o tráfego por meio de um ataque man-in-the-middle pode retornar um corpo de resposta arbitrariamente grande. Isso leva a uma alocação de heap ilimitada, causando alta pressão de memória transitória, interrupções na coleta de lixo (garbage-collection) ou uma OutOfMemoryException que encerra o processo, resultando em Negação de Serviço (DoS).

Recomendações Atualize para a versão 1.15.0-beta.2 ou posterior. Desative o detector de recursos de VM do Azure. Use controles de nível de rede, como regras de firewall, mTLS ou uma malha de serviços (service mesh), para evitar ataques man-in-the-middle no endpoint de metadados de instância de VM do Azure.