CVE-2026-50271 in dd-trace-py
Résumé
par VulDB • 18/07/2026
Datadog dd-trace-py est le client APM Python de Datadog. Avant la version 4.8.2, les bibliothèques de traçage de Datadog qui implémentent la propagation des en-têtes W3C baggage analysaient les en-têtes HTTP entrants sans appliquer les limites DD_TRACE_BAGGAGE_MAX_ITEMS ou DD_TRACE_BAGGAGE_MAX_BYTES sur le chemin d'extraction (extract path). Un attaquant distant non authentifié peut envoyer une requête dont l'en-tête baggage contient un nombre arbitrairement élevé de paires clé-valeur séparées par des virgules, ou une seule valeur très volumineuse, provoquant une consommation illimitée du CPU et de la mémoire, ce qui permet d'effectuer une déni de service (DoS) à distance contre les services HTTP ayant la propagation baggage activée. Ce problème est corrigé dans la version 4.8.2.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.