CVE-2026-42602

Nome do Software Vulnerável e Versões Afetadas azureauthextension versões 0.124.0 a 0.150.0

Descrição Existe uma falha de bypass de autenticação no lado do servidor no azureauthextension quando utilizado por um receptor OpenTelemetry com auth: azure auth. A função Authenticate() não valida os tokens bearer recebidos como JSON Web Tokens (JWTs), que são meios compactos e seguros de representar reivindicações a serem transferidas entre duas partes. Em vez disso, a extensão realiza uma simples comparação de igualdade de strings entre o token do cliente e um token obtido pelo servidor.

Além disso, o escopo para a solicitação de token do lado do servidor é derivado do cabeçalho Host fornecido pelo cliente. Isso permite que um invasor que possua um token de acesso Azure válido para qualquer escopo que a identidade do coletor possa emitir (como ARM, Graph, Key Vault ou Storage) se autentique no coletor fornecendo um cabeçalho Host correspondente. Os tokens podem ser reutilizados durante todo o seu tempo de vida emitido.

Recomendações Para as versões 0.124.0 a 0.150.0, remova o azure auth de quaisquer blocos auth: do receptor. Como medida de mitigação temporária, restrinja o uso do azureauthextension em receptores até que uma correção esteja disponível.