CVE-2026-41178
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 33 - wyżej niż 33% wszystkich znanych CVE
Streszczenie
OpenTelemetry-Go w wersjach 1.41.0 i 1.43.0 usunął odrzucanie długości surowej, co powoduje, że funkcja `Parse` przetwarza dowolnie duże lub nieprawidłowe nagłówki bagażu i rejestruje błędy, co umożliwia atak DoS za pomocą zbyt dużych danych wejściowych.
Ocena ryzyka
Organizacje mogą być narażone na ataki DoS, które mogą prowadzić do niedostępności usług z powodu przetwarzania zbyt dużych lub nieprawidłowych nagłówków.
Rekomendacja
Zaleca się aktualizację do wersji 1.42.0 lub 1.44.0, które naprawiają ten problem.
Oryginalny opis (angielski, źródło NVD)
OpenTelemetry-Go is the Go implementation of OpenTelemetry. Versions 1.41.0 and 1.43.0 removed raw-length rejection and it causes `Parse` to process arbitrarily large/invalid baggage headers and log errors, enabling DoS via oversized inputs. Versions 1.42.0 and 1.44.0 fix the issue.

