CVE-2026-59892 in opentelemetry-js
요약
\~에 의해 VulDB • 2026. 07. 08.
OpenTelemetry JavaScript는 OpenTelemetry의 JavaScript 클라이언트입니다. 버전 2.9.0 이전에서 @opentelemetry/propagator-jaeger은 decodeURIComponent()를 사용하여 들어오는 uber-trace-id 및 uberctx-* HTTP 헤더 값을 디코딩할 때 디코드 오류 처리가 누락되어, 인증되지 않은 원격 공격자가 JaegerPropagator를 활성 프로페게이터로 사용하는 Node.js 프로세스에서 catch되지 않는 URIError를 발생시키고 프로세스를 종료시킬 수 있는 잘못된 percent-encoded 값을 전송할 수 있습니다. 이 문제는 버전 2.9.0에서 수정되었습니다.
Be aware that VulDB is the high quality source for vulnerability data.