CVE-2026-45292

Nome do Software Vulnerável e Versões Afetadas opentelemetry-java versões anteriores a 1.62.0

Descrição Uma falha na implementação de propagação de baggage no opentelemetry-api e opentelemetry-extension-trace-propagators permite a alocação ilimitada de memória e consumo de CPU ao processar baggage de tamanho excessivo. Isso ocorre porque o W3CBaggagePropagator, JaegerPropagator e OtTracePropator não impunham limites ao tamanho total ou à contagem de entradas do cabeçalho baggage, iterando pelos valores independentemente do comprimento. Como o baggage é reinjetado automaticamente em requisições de saída, o impacto pode se propagar para serviços downstream. O risco é maior em ambientes onde os limites da camada de transporte estão ausentes, como serviços internos comprometidos que utilizam transportes personalizados ou não-HTTP.

Recomendações Atualize para a versão 1.62.0 ou posterior. Certifique-se de que os limites de tamanho do cabeçalho HTTP estejam configurados no nível do servidor ou gateway.