CVE-2026-41484 in opentelemetry-dotnet-contrib
Zusammenfassung
von VulDB • 23.05.2026
OpenTelemetry.Exporter.OneCollector ist ein .NET-Exporter, der Telemetriedaten über HTTP an ein OneCollector-Backend sendet. In den Versionen 1.15.0 und früher liest die Klasse HttpJsonPostTransport den gesamten Antwortkörper in den Speicher, wenn eine Anfrage an das konfigurierte Backend oder Collector einen fehlerhaften HTTP-4xx- oder 5xx-Statuscode zurückgibt. Dabei gibt es keine Obergrenze für die Anzahl der verbrauchten Bytes, um die Fehlerantwort in den Operator-Logs zu erfassen.
Ein Angreifer, der das konfigurierte Endpunkt kontrolliert oder den Datenverkehr dorthin durch einen Man-in-the-Middle-Angriff abfangen kann, kann einen beliebig großen Antwortkörper zurückgeben. Dies führt zu einer ungebundenen Heap-Allokation im verarbeitenden Prozess, was zu hohem, vorübergehendem Speicherdruck, Garbage-Collection-Stalls oder einer OutOfMemoryException führt, die den Prozess beendet. Als Workaround sollten netzwerkseitige Kontrollmechanismen wie Firewall-Regeln, mTLS oder ein Service Mesh eingesetzt werden, um Man-in-the-Middle-Angriffe auf das konfigurierte Backend oder Collector-Endpunkt zu verhindern. Dieses Problem wurde in Version 1.15.1 behoben, die die Anzahl der im Fehlerfall aus dem Antwortkörper gelesenen Bytes auf 4 MiB begrenzt.
If you want to get best quality of vulnerability data, you may have to visit VulDB.