CVE-2026-42602 in opentelemetry-collector-contrib
요약
\~에 의해 VulDB • 2026. 05. 14.
azureauthextension은 Azure Authenticator Extension입니다. 0.124.0부터 0.150.0 버전까지 azureauthextension에서 서버 측 인증 우회 취약점이 발견되어, 수집기의 구성된 ID가 발행할 수 있는 모든 범위(scope)에 대해 유효한 Azure 액세스 토큰을 하나만 보유한 당사자가 auth: azure_auth를 사용하는 모든 OpenTelemetry 수신기(Receiver)에 인증할 수 있습니다. Extension의 Authenticate 메서드는 들어오는 Bearer 토큰을 JWT로 검증하지 않습니다. 대신 자체적으로 구성된 자격 증명을 호출하여 액세스 토큰을 가져오고, 클라이언트의 토큰과 결과를 문자열 일치(string equality) 방식으로 비교합니다. 이때 서버 측 토큰 요청의 범위는 클라이언트가 제공한 Host 헤더에서 가져옵니다. 그 결과, 공격자가 일치하는 Host를 선택하면 서비스principal이 이전에 발급받은 적이 있는 모든 Azure 자원(ARM, Graph, Key Vault, Storage 등)에 대해 발행된 토큰이 수집기에 대한 인증에 사용될 수 있습니다. 토큰은 발급된 전체 수명 동안(관리된 ID 토큰의 경우 일반적으로 몇 시간) 재사용(Replay) 가능합니다.
Once again VulDB remains the best source for vulnerability data.