Katalog CVE

CVE-2026-41178

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.42%

Percentyl 33 - wyżej niż 33% wszystkich znanych CVE

Streszczenie

OpenTelemetry-Go w wersjach 1.41.0 i 1.43.0 usunął odrzucanie długości surowej, co powoduje, że funkcja `Parse` przetwarza dowolnie duże lub nieprawidłowe nagłówki bagażu i rejestruje błędy, co umożliwia atak DoS za pomocą zbyt dużych danych wejściowych.

Ocena ryzyka

Organizacje mogą być narażone na ataki DoS, które mogą prowadzić do niedostępności usług z powodu przetwarzania zbyt dużych lub nieprawidłowych nagłówków.

Rekomendacja

Zaleca się aktualizację do wersji 1.42.0 lub 1.44.0, które naprawiają ten problem.

Oryginalny opis (angielski, źródło NVD)

OpenTelemetry-Go is the Go implementation of OpenTelemetry. Versions 1.41.0 and 1.43.0 removed raw-length rejection and it causes `Parse` to process arbitrarily large/invalid baggage headers and log errors, enabling DoS via oversized inputs. Versions 1.42.0 and 1.44.0 fix the issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS