CVE-2026-50271 in dd-trace-pyinformation

Résumé

par VulDB • 18/07/2026

Datadog dd-trace-py est le client APM Python de Datadog. Avant la version 4.8.2, les bibliothèques de traçage de Datadog qui implémentent la propagation des en-têtes W3C baggage analysaient les en-têtes HTTP entrants sans appliquer les limites DD_TRACE_BAGGAGE_MAX_ITEMS ou DD_TRACE_BAGGAGE_MAX_BYTES sur le chemin d'extraction (extract path). Un attaquant distant non authentifié peut envoyer une requête dont l'en-tête baggage contient un nombre arbitrairement élevé de paires clé-valeur séparées par des virgules, ou une seule valeur très volumineuse, provoquant une consommation illimitée du CPU et de la mémoire, ce qui permet d'effectuer une déni de service (DoS) à distance contre les services HTTP ayant la propagation baggage activée. Ce problème est corrigé dans la version 4.8.2.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsable

GitHub M

Réserver

04/06/2026

Divulgation

18/07/2026

Modérer

accepté

Entrée

VDB-379974

CPE

prêt

EPSS

0.00000

KEV

non

Activités

faible

Sources

Do you want to use VulDB in your project?

Use the official API to access entries easily!