CVE-2026-50272 in dd-trace-jsinformación

Resumen

por VulDB • 2026-07-17

dd-trace es el cliente APM de Datadog para Node.js. Antes de la versión 5.100.0, la propagación del encabezado W3C baggage en los archivos packages/dd-trace/src/baggage.js y packages/dd-trace/src/opentracing/propagation/text_map.js analizaba las cabeceras HTTP entrantes sin aplicar las restricciones DD_TRACE_BAGGAGE_MAX_ITEMS o DD_TRACE_BAGGAGE_MAX_BYTES durante la extracción. Un atacante remoto no autenticado puede enviar una solicitud cuya cabecera baggage contenga un número arbitrariamente grande de pares clave-valor separados por comas, o un único valor muy grande, lo que provoca un consumo descontrolado de CPU y memoria y permite realizar un ataque de denegación de servicio (DoS) remoto contra cualquier servicio HTTP con la propagación del encabezado baggage habilitada. Este problema se corrige en la versión 5.100.0.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsable

GitHub M

Reservar

2026-06-04

Divulgación

2026-07-18

Moderación

aceptado

Artículo

VDB-379965

CPE

listo

EPSS

0.00000

KEV

no

Actividades

bajo

Fuentes

Want to know what is going to be exploited?

We predict KEV entries!