CVE-2026-59892 in opentelemetry-jsالمعلومات

الملخص

بحسب VulDB • 08/07/2026

يُعد OpenTelemetry JavaScript العميل الخاص بـ OpenTelemetry للغة جافا سكريبت. قبل الإصدار 2.9.0، كان @opentelemetry/propagator-jaeger يقوم بفك تشفير قيم عناوين HTTP القادمة الخاصة بـ uber-trace-id وuberctx-* باستخدام دالة decodeURIComponent() دون معالجة أخطاء فك التشفير، مما يتيح لمهاجم عنيف غير مصرح له إرسال قيمة مشفرة بالنسب المئوية (percent-encoded) بشكل معيب تتسبب في طرح استثناء URIError غير مُعالج وإنهاء عملية Node.js عند استخدام JaegerPropagator كمُوزِّع نشط. تم إصلاح هذه المشكلة في الإصدار 2.9.0.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

مسؤول

GitHub M

حجز

07/07/2026

إفشاء

08/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-376932

EPSS

0.00436

KEV

لا

النشاطات

منخفض جدًا

المصادر

Want to stay up to date on a daily basis?

Enable the mail alert feature now!