PT-2026-54845 · Unknown · @Opentelemetry/Instrumentation
Decsecre583
·
Publicado
2026-07-01
·
Atualizado
2026-07-01
·
CVE-2026-54712
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
Nome do Software Vulnerável e Versões Afetadas
OpenTelemetry Java Instrumentation versões anteriores a 2.27.0
Description
Existe um problema no leitor de payload de propagação de contexto RMI onde o número de entradas de contexto é limitado, mas o tamanho agregado das strings lidas do stream não é. Um invasor capaz de alcançar um endpoint RMI em uma JVM instrumentada pode enviar um payload de propagação de contexto excessivamente grande, causando alocação excessiva de memória e potencialmente levando a uma negação de serviço. Isso afeta implantações onde a instrumentação RMI está habilitada e o endpoint RMI está acessível via rede.
Recommendations
Atualize para a versão 2.27.0.
Como mitigação temporária, desabilite a instrumentação RMI ou restrinja o acesso de rede ao endpoint RMI.
Correção
DoS
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
@Opentelemetry/Instrumentation