PT-2026-52642 · Unknown · Opentelemetry Sdk

Publicado

2026-06-25

·

Atualizado

2026-06-25

·

CVE-2026-48504

CVSS v3.1

5.3

Média

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
Nome do Software Vulnerável e Versões Afetadas opentelemetry sdk versões anteriores a 0.32.1
Description A função BaggagePropagator::extract with context() no opentelemetry sdk não impõe os limites de tamanho do W3C Baggage antes de analisar um cabeçalho baggage de entrada. Um invasor pode fornecer um cabeçalho grande para causar uso excessivo de CPU e alocações temporárias de heap durante a análise de entradas que são posteriormente descartadas pelos limites de armazenamento do SDK. Isso pode levar a uma condição de negação de serviço para serviços que aceitam cabeçalhos de propagação não confiáveis, particularmente se os limites de cabeçalho do nível de transporte estiverem ausentes ou excederem as especificações do W3C.
Recommendations Atualize para a versão 0.32.1 ou posterior. Como solução temporária, rejeite ou limite cabeçalhos baggage de entrada maiores que 8192 bytes em um proxy, gateway, camada de middleware ou limite de transportador personalizado antes de invocar a extração de propagação do OpenTelemetry.

Correção

Allocation of Resources Without Limits

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-48504
GHSA-W9WP-H8WV-79JX

Produtos afetados

Opentelemetry Sdk