CVE-2026-41178

Nome do Software Vulnerável e Versões Afetadas OpenTelemetry Go (versões afetadas não especificadas)

Descrição Um problema de negação de serviço existe devido à remoção da rejeição de comprimento bruto durante a análise do cabeçalho de bagagem. A função Parse processa cabeçalhos de bagagem arbitrariamente grandes ou inválidos e registra erros, permitindo que um cliente remoto cause consumo excessivo de CPU e memória. Especificamente, em baggage/baggage.go, a função parseMember realiza a análise completa e o PathUnescape em membros sem uma guarda de tamanho. Além disso, em propagation/baggage.go, os erros de análise de cabeçalhos controlados por atacantes são enviados para o manipulador de erros global, que por padrão realiza a gravação de logs, potencialmente amplificando o impacto de entradas superdimensionadas.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.