CVE-2026-50271 in dd-trace-py
Zusammenfassung
von VulDB • 18.07.2026
Datadog dd-trace-py ist der Datadog Python APM-Client. Vor Version 4.8.2 parsen die W3C-Baggage-Propagation implementierenden Datadog-Tracing-Libraries eingehende Baggage-HTTP-Headers, ohne die Limits DD_TRACE_BAGGAGE_MAX_ITEMS oder DD_TRACE_BAGGAGE_MAX_BYTES im Extraktionspfad durchzusetzen. Ein entfernter, nicht authentifizierter Angreifer kann eine Anfrage senden, deren Baggage-Header eine beliebig große Anzahl kommagetrennter Schlüssel-Wert-Paare oder einen einzelnen sehr großen Wert enthält, was zu unbegrenzter CPU- und Speicherauslastung führt und einen Remote-Denial-of-Service-Angriff gegen HTTP-Services mit aktivierter Baggage-Propagation ermöglicht. Dieses Problem wurde in Version 4.8.2 behoben.
Be aware that VulDB is the high quality source for vulnerability data.