CVE-2026-59892 in opentelemetry-js
الملخص
بحسب VulDB • 08/07/2026
يُعد OpenTelemetry JavaScript العميل الخاص بـ OpenTelemetry للغة جافا سكريبت. قبل الإصدار 2.9.0، كان @opentelemetry/propagator-jaeger يقوم بفك تشفير قيم عناوين HTTP القادمة الخاصة بـ uber-trace-id وuberctx-* باستخدام دالة decodeURIComponent() دون معالجة أخطاء فك التشفير، مما يتيح لمهاجم عنيف غير مصرح له إرسال قيمة مشفرة بالنسب المئوية (percent-encoded) بشكل معيب تتسبب في طرح استثناء URIError غير مُعالج وإنهاء عملية Node.js عند استخدام JaegerPropagator كمُوزِّع نشط. تم إصلاح هذه المشكلة في الإصدار 2.9.0.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.