CVE-2026-50272 in dd-trace-js
Riassunto
di VulDB • 17/07/2026
dd-trace è il client APM di Datadog per Node.js. Prima della versione 5.100.0, la propagazione del W3C baggage nei file packages/dd-trace/src/baggage.js e packages/dd-trace/src/opentracing/propagation/text_map.js analizzava le intestazioni HTTP dei campi baggage in ingresso senza applicare i limiti imposti da DD_TRACE_BAGGAGE_MAX_ITEMS o DD_TRACE_BAGGAGE_MAX_BYTES durante l'estrazione. Un attaccante remoto non autenticato può inviare una richiesta la cui intestazione baggage contiene un numero arbitrariamente elevato di coppie chiave-valore separate da virgola, oppure un singolo valore molto grande, causando un consumo illimitato di CPU e memoria ed abilitando un denial of service (DoS) remoto contro qualsiasi servizio HTTP con la propagazione del baggage attivata. Questo problema è stato risolto nella versione 5.100.0.
If you want to get best quality of vulnerability data, you may have to visit VulDB.