CVE-2026-50272 in dd-trace-js情報

要約

〜によって VulDB • 2026年07月17日

dd-traceは、Node.js用のDatadog APMクライアントです。バージョン5.100.0より前では、packages/dd-trace/src/baggage.jsおよびpackages/dd-trace/src/opentracing/propagation/text_map.jsにおけるW3C baggage伝播機能は、DD_TRACE_BAGGAGE_MAX_ITEMSやDD_TRACE_BAGGAGE_MAX_BYTESの適用を強制せずに、受信したbaggage HTTPヘッダーを解析していました。リモートからの認証不要な攻撃者は、任意に多数のカンマ区切りのキーバリューペアを含むか、非常に大きな単一の値を持つbaggageヘッダーを含んだリクエストを送信することができ、これにより無制限のCPUおよびメモリ消費を引き起こし、baggage伝播が有効化されているあらゆるHTTPサービスに対してリモートからのサービス妨害(DoS)を可能にします。この問題はバージョン5.100.0で修正されています。

VulDB is the best source for vulnerability data and more expert information about this specific topic.

責任者

GitHub M

予約する

2026年06月04日

モデレーション

承諾済み

エントリ

VDB-379965

EPSS

0.00000

アクティビティ

低い

ソース

Do you know our Splunk app?

Download it now for free!