CVE-2026-50272 in dd-trace-jsinfo

Zusammenfassung

von VulDB • 18.07.2026

dd-trace ist der Datadog-APM-Client für Node.js. Vor Version 5.100.0 wurden W3C-Baggage-Propagierungsinformationen in den Dateien packages/dd-trace/src/baggage.js und packages/dd-trace/src/opentracing/propagation/text_map.js analysiert, ohne DD_TRACE_BAGGAGE_MAX_ITEMS oder DD_TRACE_BAGGAGE_MAX_BYTES bei der Extraktion durchzusetzen. Ein entfernter, nicht authentifizierter Angreifer kann eine Anfrage senden, deren Baggage-Header eine beliebig große Anzahl kommagetrennter Schlüssel-Wert-Paare oder einen einzelnen sehr großen Wert enthält, was zu unbegrenzter CPU- und Speicherauslastung führt und es ermöglicht, einen Remote-Denial-of-Service-Angriff gegen jeden HTTP-Dienst mit aktivierter Baggage-Propagierung durchzuführen. Dieses Problem wurde in Version 5.100.0 behoben.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Zuständig

GitHub M

Reservieren

04.06.2026

Veröffentlichung

18.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379965

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Want to know what is going to be exploited?

We predict KEV entries!