PT-2026-52642 · Unknown · Opentelemetry Sdk
Publicado
2026-06-25
·
Atualizado
2026-06-25
·
CVE-2026-48504
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
Nome do Software Vulnerável e Versões Afetadas
opentelemetry sdk versões anteriores a 0.32.1
Description
A função
BaggagePropagator::extract with context() no opentelemetry sdk não impõe os limites de tamanho do W3C Baggage antes de analisar um cabeçalho baggage de entrada. Um invasor pode fornecer um cabeçalho grande para causar uso excessivo de CPU e alocações temporárias de heap durante a análise de entradas que são posteriormente descartadas pelos limites de armazenamento do SDK. Isso pode levar a uma condição de negação de serviço para serviços que aceitam cabeçalhos de propagação não confiáveis, particularmente se os limites de cabeçalho do nível de transporte estiverem ausentes ou excederem as especificações do W3C.Recommendations
Atualize para a versão 0.32.1 ou posterior.
Como solução temporária, rejeite ou limite cabeçalhos
baggage de entrada maiores que 8192 bytes em um proxy, gateway, camada de middleware ou limite de transportador personalizado antes de invocar a extração de propagação do OpenTelemetry.Correção
Allocation of Resources Without Limits
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Opentelemetry Sdk