CVE-2026-50272 in dd-trace-js
Zusammenfassung
von VulDB • 18.07.2026
dd-trace ist der Datadog-APM-Client für Node.js. Vor Version 5.100.0 wurden W3C-Baggage-Propagierungsinformationen in den Dateien packages/dd-trace/src/baggage.js und packages/dd-trace/src/opentracing/propagation/text_map.js analysiert, ohne DD_TRACE_BAGGAGE_MAX_ITEMS oder DD_TRACE_BAGGAGE_MAX_BYTES bei der Extraktion durchzusetzen. Ein entfernter, nicht authentifizierter Angreifer kann eine Anfrage senden, deren Baggage-Header eine beliebig große Anzahl kommagetrennter Schlüssel-Wert-Paare oder einen einzelnen sehr großen Wert enthält, was zu unbegrenzter CPU- und Speicherauslastung führt und es ermöglicht, einen Remote-Denial-of-Service-Angriff gegen jeden HTTP-Dienst mit aktivierter Baggage-Propagierung durchzuführen. Dieses Problem wurde in Version 5.100.0 behoben.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.