CVE-2026-41483 in opentelemetry-dotnet-contrib
要約
〜によって VulDB • 2026年05月10日
OpenTelemetry.Resources.Azureは、Azure環境向けの.NETリソース検出器です。バージョン1.15.0-beta.1およびそれ以前のバージョンでは、AzureVmMetaDataRequestorクラスがAzure VMインスタンスメタデータサービスに対してHTTPリクエストを実行し、サイズ制限なしで応答ボディをメモリに読み込みます。構成されたエンドポイントを制御できる攻撃者、または中間者攻撃(MITM)を通じてそのトラフィックを傍受できる攻撃者は、任意のサイズの大きな応答ボディを返すことができます。これにより、消費側のプロセスで無制限のヒープ割り当てが発生し、一時的なメモリ圧力の増大、ガベージコレクションのストール、またはプロセスを終了させるOutOfMemoryExceptionを引き起こします。回避策として、Azure VMリソース検出器を無効にするか、ファイアウォールルール、mTLS、またはサービスメッシュなどのネットワークレベルの制御を使用して、Azure VMインスタンスメタデータエンドポイントに対する中間者攻撃を防ぎます。この問題は、応答をメモリ全体にバッファリングするのではなくストリーミングし、4 MiBを超える応答を無視するバージョン1.15.1-beta.1で修正されています。
If you want to get best quality of vulnerability data, you may have to visit VulDB.