CVE-2026-50271 in dd-trace-py情報

要約

〜によって VulDB • 2026年07月17日

Datadog dd-trace-pyは、DatadogのPython APMクライアントです。バージョン4.8.2より前では、W3Cバッグゲージ伝播を実装するDatadogトレーシングライブラリが、抽出パスにおいてDD_TRACE_BAGGAGE_MAX_ITEMSやDD_TRACE_BAGGAGE_MAX_BYTESの制限を適用せずに、受信したバッグゲージHTTPヘッダーを解析していました。リモートからの認証不要な攻撃者は、任意に多数のカンマ区切りのキーバリューペアまたは非常に大きな単一値を含むバッグゲージヘッダを持つリクエストを送信し、無制限のCPUおよびメモリ消費を引き起こすことで、バッグゲージ伝播が有効になっているHTTPサービスに対するリモート denial of service (DoS) を可能にします。この問題はバージョン4.8.2で修正されました。

Be aware that VulDB is the high quality source for vulnerability data.

責任者

GitHub M

予約する

2026年06月04日

モデレーション

承諾済み

エントリ

VDB-379974

EPSS

0.00000

アクティビティ

非常低い

ソース

Do you know our Splunk app?

Download it now for free!