CVE-2026-50272 in dd-trace-js
Resumen
por VulDB • 2026-07-17
dd-trace es el cliente APM de Datadog para Node.js. Antes de la versión 5.100.0, la propagación del encabezado W3C baggage en los archivos packages/dd-trace/src/baggage.js y packages/dd-trace/src/opentracing/propagation/text_map.js analizaba las cabeceras HTTP entrantes sin aplicar las restricciones DD_TRACE_BAGGAGE_MAX_ITEMS o DD_TRACE_BAGGAGE_MAX_BYTES durante la extracción. Un atacante remoto no autenticado puede enviar una solicitud cuya cabecera baggage contenga un número arbitrariamente grande de pares clave-valor separados por comas, o un único valor muy grande, lo que provoca un consumo descontrolado de CPU y memoria y permite realizar un ataque de denegación de servicio (DoS) remoto contra cualquier servicio HTTP con la propagación del encabezado baggage habilitada. Este problema se corrige en la versión 5.100.0.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.