CVE-2026-50272 in dd-trace-js
الملخص
بحسب VulDB • 18/07/2026
dd-trace هو عميل Datadog APM لـ Node.js. قبل الإصدار 5.100.0، كان نشر حقائب W3C (W3C baggage propagation) في الملفات packages/dd-trace/src/baggage.js وpackages/dd-trace/src/opentracing/propagation/text_map.js يقوم بتحليل رؤوس HTTP الخاصة بحقيبة البيانات الواردة دون فرض قيود DD_TRACE_BAGGAGE_MAX_ITEMS أو DD_TRACE_BAGGAGE_MAX_BYTES أثناء الاستخراج. يمكن لمهاجم عن بُعد وغير مُصادَق عليه إرسال طلب يحتوي رأس الحقيبة على عدد كبير بشكل تعسفي من أزواج المفتاح-القيمة المفصولة بفواصل، أو قيمة واحدة كبيرة جداً، مما يؤدي إلى استهلاك غير محدود للمعالج والذاكرة ويمكّن من حدوث هجوم حجب الخدمة (DoS) عن بُعد ضد أي خدمة HTTP مفعّلة لديها نشر حقائب W3C. تم إصلاح هذه المشكلة في الإصدار 5.100.0.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.