CVE-2026-44213
ŚrednieStreszczenie
Pakiet NuGet OpenTelemetry.Exporter.Instana przed wersją 1.1.0 nie weryfikował poprawności certyfikatów HTTPS/TLS podczas wysyłania telemetry do backendu Instana, gdy skonfigurowano proxy. To stwarza ryzyko, że atakujący może przechwycić dane telemetryczne oraz klucz API Instana.
Ocena ryzyka
Organizacja narażona jest na ataki typu Man-in-the-Middle, co może prowadzić do ujawnienia wrażliwych danych telemetrycznych oraz klucza API, co zagraża bezpieczeństwu systemu.
Rekomendacja
Zaleca się aktualizację pakietu OpenTelemetry.Exporter.Instana do wersji 1.1.0 lub nowszej, aby zapewnić weryfikację certyfikatów HTTPS/TLS.
Oryginalny opis (angielski, źródło NVD)
The OpenTelemetry.Exporter.Instana exports telemetry to Instana backend. Prior to 1.1.0, the OpenTelemetry.Exporter.Instana NuGet package does not validate HTTPS/TLS certificates are valid when sending telemetry to a configured Instana back-end when a proxy is configured using the INSTANA_ENDPOINT_PROXY environment variable. If a network attacker can Man-in-the-Middle (MitM) the proxy connection, all OpenTelemetry telemetry data and the Instana API key are exposed to the attacker. This vulnerability is fixed in 1.1.0.

