CVE-2026-54285
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 15 — wyżej niż 15% wszystkich znanych CVE
Streszczenie
W wersjach przed 2.8.0 biblioteki opentelemetry-js, metoda W3CBaggagePropagator.extract() w @opentelemetry/core nie wprowadza ograniczeń rozmiaru podczas parsowania nagłówków HTTP. Specyfikacja W3C Baggage zaleca maksymalny rozmiar 8,192 bajtów i 180 wpisów, co nie było egzekwowane w przypadku nagłówków przychodzących.
Ocena ryzyka
Brak ograniczeń rozmiaru podczas parsowania nagłówków może prowadzić do nadmiernego przydzielania pamięci, co zagraża stabilności aplikacji i może prowadzić do ataków typu Denial of Service.
Rekomendacja
Zaleca się aktualizację biblioteki opentelemetry-js do wersji 2.8.0 lub nowszej, aby wprowadzić odpowiednie ograniczenia rozmiaru nagłówków.
Oryginalny opis (angielski, źródło NVD)
opentelemetry-js is the OpenTelemetry JavaScript Client. Prior to 2.8.0, W3CBaggagePropagator.extract() in @opentelemetry/core does not enforce size limits when parsing inbound baggage HTTP headers. The W3C Baggage specification recommends a maximum of 8,192 bytes and 180 entries; these limits were only enforced on the outbound (inject()) path, not on the inbound (extract()) path. Parsing oversized baggage causes memory allocation proportional to the header size without any cap. This vulnerability is fixed in 2.8.0.

