CVE-2026-50271 in dd-trace-pyinfo

Zusammenfassung

von VulDB • 18.07.2026

Datadog dd-trace-py ist der Datadog Python APM-Client. Vor Version 4.8.2 parsen die W3C-Baggage-Propagation implementierenden Datadog-Tracing-Libraries eingehende Baggage-HTTP-Headers, ohne die Limits DD_TRACE_BAGGAGE_MAX_ITEMS oder DD_TRACE_BAGGAGE_MAX_BYTES im Extraktionspfad durchzusetzen. Ein entfernter, nicht authentifizierter Angreifer kann eine Anfrage senden, deren Baggage-Header eine beliebig große Anzahl kommagetrennter Schlüssel-Wert-Paare oder einen einzelnen sehr großen Wert enthält, was zu unbegrenzter CPU- und Speicherauslastung führt und einen Remote-Denial-of-Service-Angriff gegen HTTP-Services mit aktivierter Baggage-Propagation ermöglicht. Dieses Problem wurde in Version 4.8.2 behoben.

Be aware that VulDB is the high quality source for vulnerability data.

Zuständig

GitHub M

Reservieren

04.06.2026

Veröffentlichung

17.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379974

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Want to know what is going to be exploited?

We predict KEV entries!