CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-44902

High
Published: Translated: NVD NIST

Summary

W bibliotece opentelemetry-js przed wersją 0.217.0, pojedyncze źle sformułowane żądanie HTTP powoduje awarię każdego procesu Node.js, który uruchamia eksportera Prometheus. Punkt końcowy metryk (domyślnie 0.0.0.0:9464) nie obsługuje błędów związanych z analizą URL, co prowadzi do nieobsłużonego błędu TypeError, który kończy działanie procesu.

Risk Assessment

Organizacje korzystające z opentelemetry-js mogą doświadczyć nieprzewidzianych przestojów w działaniu aplikacji, co może prowadzić do utraty danych lub obniżenia jakości usług. W szczególności, każdy nieprawidłowy request może spowodować awarię całego procesu Node.js.

Recommendation

Zaleca się aktualizację biblioteki opentelemetry-js do wersji 0.217.0 lub nowszej, aby usunąć tę podatność. Dodatkowo warto wdrożyć mechanizmy obsługi błędów w aplikacji, aby zminimalizować ryzyko awarii.

Original NVD description (English source)

opentelemetry-js is the OpenTelemetry JavaScript Client. Prior to 0.217.0, a single malformed HTTP request crashes any Node.js process running the OpenTelemetry JS Prometheus exporter. The metrics endpoint (default 0.0.0.0:9464) has no error handling around URL parsing, so a request with an invalid URI causes an uncaught TypeError that terminates the process. This vulnerability is fixed in 0.217.0.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS