CVE-2026-41484

Nome do Software Vulnerável e Versões Afetadas OpenTelemetry.Exporter.OneCollector versões anteriores a 1.15.1

Description Ao exportar telemetria para um back-end ou coletor via HTTP, a classe HttpJsonPostTransport lê todo o corpo da resposta na memória sem um limite superior se a solicitação resultar em uma resposta HTTP 4xx ou 5xx malsucedida. Um invasor que controle o endpoint configurado ou intercepte o tráfego por meio de um ataque de man-in-the-middle pode retornar um corpo de resposta arbitrariamente grande. Isso leva a uma alocação de heap ilimitada, causando alta pressão de memória transitória, interrupções na coleta de lixo (garbage-collection stalls) ou uma OutOfMemoryException que encerra o processo, resultando em uma condição de negação de serviço.

Recommendations Atualize para a versão 1.15.1. Use controles de nível de rede, como regras de firewall, mTLS ou uma malha de serviços (service mesh), para evitar ataques de man-in-the-middle no endpoint do back-end ou coletor configurado.