Katalog CVE

CVE-2026-44902

Wysokie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W bibliotece opentelemetry-js przed wersją 0.217.0, pojedyncze źle sformułowane żądanie HTTP powoduje awarię każdego procesu Node.js, który uruchamia eksportera Prometheus. Punkt końcowy metryk (domyślnie 0.0.0.0:9464) nie obsługuje błędów związanych z analizą URL, co prowadzi do nieobsłużonego błędu TypeError, który kończy działanie procesu.

Ocena ryzyka

Organizacje korzystające z opentelemetry-js mogą doświadczyć nieprzewidzianych przestojów w działaniu aplikacji, co może prowadzić do utraty danych lub obniżenia jakości usług. W szczególności, każdy nieprawidłowy request może spowodować awarię całego procesu Node.js.

Rekomendacja

Zaleca się aktualizację biblioteki opentelemetry-js do wersji 0.217.0 lub nowszej, aby usunąć tę podatność. Dodatkowo warto wdrożyć mechanizmy obsługi błędów w aplikacji, aby zminimalizować ryzyko awarii.

Oryginalny opis (angielski, źródło NVD)

opentelemetry-js is the OpenTelemetry JavaScript Client. Prior to 0.217.0, a single malformed HTTP request crashes any Node.js process running the OpenTelemetry JS Prometheus exporter. The metrics endpoint (default 0.0.0.0:9464) has no error handling around URL parsing, so a request with an invalid URI causes an uncaught TypeError that terminates the process. This vulnerability is fixed in 0.217.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS