CVE-2026-44902

Nome do Software Vulnerável e Versões Afetadas opentelemetry-js versões anteriores a 0.217.0

Description Uma única requisição HTTP malformada pode travar qualquer processo Node.js que execute o exportador Prometheus do OpenTelemetry JS. O endpoint de métricas (padrão '0.0.0.0:9464') não possui tratamento de erros durante a análise da URL. Quando uma requisição com uma URI inválida é recebida, a função requestHandler chama o construtor URL, que lança um TypeError não capturado, resultando em uma negação de serviço. Isso ocorre porque o analisador HTTP aceita URIs de forma absoluta para compatibilidade de proxy, e um valor como "http://" dispara a exceção. O endpoint não possui autenticação por design e vincula-se a '0.0.0.0' por padrão, tornando-o acessível a qualquer cliente de rede.

Recommendations Atualize o @opentelemetry/exporter-prometheus e o @opentelemetry/sdk-node para a versão 0.217.0 ou posterior. Atualize o @opentelemetry/auto-instrumentations-node para a versão 0.75.0 ou posterior. Restrinja o acesso ao endpoint de métricas para que ele não seja acessível por clientes de rede não confiáveis ou não autenticados, como configurar a opção host para '127.0.0.1'. Use um firewall ou política de rede para restringir o acesso à porta '9464' apenas a hosts de coleta do Prometheus confiáveis. Coloque o endpoint atrás de um proxy reverso para filtrar ou validar as requisições recebidas.