CVE-2026-44967
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 11 — wyżej niż 11% wszystkich znanych CVE
Streszczenie
OpenTelemetry-cpp przed wersją 1.27.0 ma podatność, w której eksportery OTLP HTTP (śladów/metryk/logów) odczytują pełną odpowiedź HTTP do wektora bajtów w pamięci bez ograniczenia rozmiaru. Może to prowadzić do wyczerpania pamięci, gdy skonfigurowany punkt końcowy kolektora jest kontrolowany przez atakującego.
Ocena ryzyka
Organizacja może być narażona na ataki prowadzące do wyczerpania pamięci, co może skutkować awarią usług lub systemów. Atakujący mogą wykorzystać tę podatność, aby przejąć kontrolę nad połączeniem eksportera.
Rekomendacja
Zaleca się aktualizację do wersji opentelemetry-cpp 1.27.0 lub nowszej, aby usunąć tę podatność. Należy również zweryfikować konfigurację punktów końcowych kolektorów, aby upewnić się, że nie są kontrolowane przez nieautoryzowane podmioty.
Oryginalny opis (angielski, źródło NVD)
OpenTelemetry-cpp is the C++ implementation of OpenTelemetry. Prior to release 1.27.0, the OTLP HTTP exporters (traces/metrics/logs) read the full HTTP response into an in-memory vector of bytes without a size cap. This is exploitable for memory exhaustion when the configured collector endpoint is attacker-controlled (or a network attacker can MITM the exporter connection). This vulnerability is fixed in opentelemetry-cpp release 1.27.0.

