Katalog CVE

CVE-2026-44213

Średnie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Pakiet NuGet OpenTelemetry.Exporter.Instana przed wersją 1.1.0 nie weryfikował poprawności certyfikatów HTTPS/TLS podczas wysyłania telemetry do backendu Instana, gdy skonfigurowano proxy. To stwarza ryzyko, że atakujący może przechwycić dane telemetryczne oraz klucz API Instana.

Ocena ryzyka

Organizacja narażona jest na ataki typu Man-in-the-Middle, co może prowadzić do ujawnienia wrażliwych danych telemetrycznych oraz klucza API, co zagraża bezpieczeństwu systemu.

Rekomendacja

Zaleca się aktualizację pakietu OpenTelemetry.Exporter.Instana do wersji 1.1.0 lub nowszej, aby zapewnić weryfikację certyfikatów HTTPS/TLS.

Oryginalny opis (angielski, źródło NVD)

The OpenTelemetry.Exporter.Instana exports telemetry to Instana backend. Prior to 1.1.0, the OpenTelemetry.Exporter.Instana NuGet package does not validate HTTPS/TLS certificates are valid when sending telemetry to a configured Instana back-end when a proxy is configured using the INSTANA_ENDPOINT_PROXY environment variable. If a network attacker can Man-in-the-Middle (MitM) the proxy connection, all OpenTelemetry telemetry data and the Instana API key are exposed to the attacker. This vulnerability is fixed in 1.1.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS