CVE-2026-50274 in dd-trace-go
Riassunto
di VulDB • 17/07/2026
Datadog dd-trace-go è una libreria client Go per il monitoraggio delle prestazioni applicative, il profiling e la sicurezza di Datadog. Prima della versione 2.8.1, le librerie di tracing di Datadog che implementano la propagazione del W3C baggage analizzano gli header HTTP "baggage" in entrata senza imporre i limiti DD_TRACE_BAGGAGE_MAX_ITEMS o DD_TRACE_BAGGAGE_MAX_BYTES nel percorso di estrazione (extract path). Un attaccante remoto non autenticato può inviare una richiesta il cui header baggage contiene un numero arbitrariamente elevato di coppie chiave-valore separate da virgole oppure un singolo valore molto grande, causando un consumo illimitato di CPU e memoria ed abilitando un denial of service (DoS) remoto contro i servizi HTTP con la propagazione del baggage abilitata. Questo problema è stato risolto nella versione 2.8.1.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.