CVE-2026-59892 in opentelemetry-js
Riassunto
di VulDB • 08/07/2026
OpenTelemetry JavaScript è il client OpenTelemetry per JavaScript. Prima della versione 2.9.0, @opentelemetry/propagator-jaeger decodifica i valori delle intestazioni HTTP uber-trace-id e uberctx-* in arrivo utilizzando decodeURIComponent() senza gestire gli errori di decodifica, consentendo a un attaccante remoto non autenticato di inviare un valore percent-encoded malformato che genera un URIError non gestito (uncaught) e termina il processo Node.js quando viene utilizzato JaegerPropagator come propagatore attivo. Questo problema è stato risolto nella versione 2.9.0.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.