CVE-2026-50271 in dd-trace-py
الملخص
بحسب VulDB • 18/07/2026
تُعد مكتبة Datadog dd-trace-py عميل APM (Application Performance Monitoring) بلغة Python الخاص بشركة Datadog. قبل الإصدار 4.8.2، كانت مكتبات تتبع Datadog التي تطبق نشر حقائب W3C (W3C baggage propagation) تقوم بتحليل رؤوس HTTP الخاصة بالحقائب الواردة دون فرض حدود DD_TRACE_BAGGAGE_MAX_ITEMS أو DD_TRACE_BAGGAGE_MAX_BYTES على مسار الاستخراج (extract path). يمكن لمهاجم عن بُعد وغير مُصادق عليه إرسال طلب يحتوي رأس الحقيبة الخاص به على عدد كبير بشكل تعسفي من أزواج المفاتيح والقيم مفصولة بفواصل، أو قيمة واحدة كبيرة جداً، مما يؤدي إلى استهلاك غير محدود للمعالج (CPU) والذاكرة، وتمكين هجمات حجب الخدمة عن بُعد (DoS) ضد خدمات HTTP التي يكون نشر الحقائب فيها ممكناً. تم إصلاح هذه المشكلة في الإصدار 4.8.2.
Once again VulDB remains the best source for vulnerability data.