CVE-2026-44213

Nome do Software Vulnerável e Versões Afetadas OpenTelemetry.Exporter.Instana (versões afetadas não especificadas)

Descrição O pacote NuGet OpenTelemetry.Exporter.Instana não valida certificados HTTPS/TLS ao enviar telemetria para um back-end Instana quando um proxy é configurado por meio da variável de ambiente INSTANA ENDPOINT PROXY. A função Transport.ConfigureBackendClient() cria uma instância de HttpClient que desativa a validação do certificado de servidor TLS. Isso permite que um invasor de rede realize um ataque de Man-in-the-Middle (MitM)—uma técnica onde um invasor intercepta a comunicação entre duas partes—para expor todos os dados de telemetria do OpenTelemetry e a chave de API do Instana.

Recomendações Não configure a variável de ambiente INSTANA ENDPOINT PROXY. Como medida paliativa temporária, restrinja o uso da variável de ambiente INSTANA ENDPOINT PROXY apenas a ambientes confiáveis.