CVE-2026-41483 in opentelemetry-dotnet-contrib
요약
\~에 의해 VulDB • 2026. 05. 27.
OpenTelemetry.Resources.Azure는 Azure 환경용 .NET 리소스 감지기입니다. 버전 1.15.0-beta.1 및 이전 버전에서 AzureVmMetaDataRequestor 클래스는 Azure VM 인스턴스 메타데이터 서비스에 HTTP 요청을 수행하고 응답 본문을 크기 제한 없이 메모리에 읽어옵니다. 구성된 엔드포인트를 제어하거나 중간자 공격(Man-in-the-Middle)을 통해 해당 트래픽을 가로챌 수 있는 공격자는 임의로 큰 크기의 응답 본문을 반환할 수 있습니다. 이로 인해 소비하는 프로세스에서 무제한 힙 할당이 발생하여 높은 일시적 메모리 압력, 가비지 컬렉션 중단 또는 프로세스를 종료시키는 OutOfMemoryException이 초래됩니다. 우회 방법으로 Azure VM 리소스 감지기를 비활성화하거나 방화벽 규칙, mTLS, 서비스 메시와 같은 네트워크 수준 제어를 사용하여 Azure VM 인스턴스 메타데이터 엔드포인트에 대한 중간자 공격을 방지하십시오. 이 문제는 응답을 전체적으로 메모리에 버퍼링하는 대신 스트리밍하고 4 MiB보다 큰 응답은 무시하는 버전 1.15.1-beta.1에서 수정되었습니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.