CVE-2026-50274 in dd-trace-go
要約
〜によって VulDB • 2026年07月17日
Datadog dd-trace-goは、Datadogのアプリケーションパフォーマンスモニタリング(APM)、プロファイリング、およびセキュリティモニタリング用のGoクライアントライブラリです。バージョン2.8.1より前では、W3C baggage伝播を実装するDatadogトレーシングライブラリが、抽出パスにおいてDD_TRACE_BAGGAGE_MAX_ITEMSやDD_TRACE_BAGGAGE_MAX_BYTESの制限を適用せずに、着信baggage HTTPヘッダーを解析していました。リモートからの認証不要な攻撃者は、任意に多数のカンマ区切りのキーバリューペアまたは非常に大きな単一値を含むbaggageヘッダを持つリクエストを送信し、無制限のCPUおよびメモリ消費を引き起こすことで、baggage伝播が有効になっているHTTPサービスに対するリモート denial of service(DoS)を可能にします。この問題はバージョン2.8.1で修正されました。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.