Katalog CVE

CVE-2026-45292

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.69%

Percentyl 48 - wyżej niż 48% wszystkich znanych CVE

Streszczenie

Podatność w implementacji propagacji baggage w opentelemetry-java przed wersją 1.62.0 powoduje niekontrolowane przydzielanie pamięci i zużycie CPU podczas parsowania zbyt dużego baggage. Ponieważ baggage jest automatycznie wstrzykiwany do każdego wychodzącego żądania, efekt może rozprzestrzenić się na usługi downstream, które nigdy nie otrzymały oryginalnego złośliwego żądania.

Ocena ryzyka

Atakujący może wysłać złośliwe żądanie z nadmiernie dużym baggage, co prowadzi do wyczerpania zasobów (pamięci i CPU) w serwisie docelowym oraz w kolejnych serwisach, które przetwarzają to baggage, powodując potencjalną odmowę usługi (DoS) w całej infrastrukturze.

Rekomendacja

Należy niezwłocznie zaktualizować bibliotekę opentelemetry-java do wersji 1.62.0 lub nowszej, która zawiera poprawkę eliminującą podatność.

Oryginalny opis (angielski, źródło NVD)

opentelemetry-java is the Java implementation of the OpenTelemetry API for recording telemetry, and SDK for managing telemetry recorded by the API. Prior to 1.62.0, a vulnerability affects the baggage propagation implementation in opentelemetry-api and opentelemetry-extension-trace-propagators. Parsing oversized baggage causes unbounded memory allocation and CPU consumption. Because baggage is automatically re-injected into every outgoing request, the effect can fan out to downstream services that never received the original malicious request. This vulnerability is fixed in 1.62.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS