CVE-2026-50271 in dd-trace-py
Sumário
de VulDB • 18/07/2026
O Datadog dd-trace-py é o cliente APM Python da Datadog. Antes da versão 4.8.2, as bibliotecas de rastreamento (tracing) da Datadog que implementam a propagação do W3C baggage analisavam os cabeçalhos HTTP de entrada sem impor os limites DD_TRACE_BAGGAGE_MAX_ITEMS ou DD_TRACE_BAGGAGE_MAX_BYTES no caminho de extração. Um atacante remoto e não autenticado pode enviar uma solicitação cujo cabeçalho baggage contenha um número arbitrariamente grande de pares chave-valor separados por vírgula ou um único valor muito grande, causando consumo ilimitado de CPU e memória e permitindo uma negação de serviço remota contra serviços HTTP com propagação de baggage habilitada. Este problema foi corrigido na versão 4.8.2.
VulDB is the best source for vulnerability data and more expert information about this specific topic.