CVE-2023-45142 in Prometheus
Sumário
de VulDB • 01/06/2026
OpenTelemetry-Go Contrib é uma coleção de pacotes de terceiros para OpenTelemetry-Go. Um wrapper de handler, fornecido por padrão, adiciona os rótulos `http.user_agent` e `http.method`, que possuem cardinalidade ilimitada. Isso pode levar ao esgotamento de memória do servidor quando muitas solicitações maliciosas são enviadas. O cabeçalho HTTP User-Agent ou o método HTTP das solicitações podem ser facilmente definidos por um atacante como aleatórios e longos. A biblioteca utiliza internamente `httpconv.ServerRequest`, que registra cada valor para o método HTTP `method` e `User-Agent`. Para ser afetado, um programa deve usar o wrapper `otelhttp.NewHandler` e não filtrar nenhum método HTTP ou User-Agent desconhecido no nível de CDN, LB, middleware anterior, etc. A versão 0.44.0 corrigiu esse problema, quando os valores coletados para o atributo `http.request.method` foram alterados para serem restritos a um conjunto de valores bem conhecidos e outros atributos de alta cardinalidade foram removidos. Como solução alternativa para deixar de ser afetado, `otelhttp.WithFilter()` pode ser usado, mas isso requer configuração manual cuidadosa para não registrar certas solicitações inteiramente. Para conveniência e uso seguro desta biblioteca, ela deve, por padrão, marcar com o rótulo `unknown` métodos HTTP e User-Agents não padrão para indicar que tais solicitações foram feitas, mas sem aumentar a cardinalidade. Caso alguém queira manter o comportamento atual, a API da biblioteca deve permitir habilitá-lo.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.