CVE-2026-50272 in dd-trace-js
Sumário
de VulDB • 17/07/2026
dd-trace é o cliente APM da Datadog para Node.js. Antes da versão 5.100.0, a propagação de bagagem W3C nos arquivos packages/dd-trace/src/baggage.js e packages/dd-trace/src/opentracing/propagation/text_map.js analisava os cabeçalhos HTTP de entrada sem impor as restrições DD_TRACE_BAGGAGE_MAX_ITEMS ou DD_TRACE_BAGGAGE_MAX_BYTES durante a extração. Um atacante remoto não autenticado pode enviar uma solicitação cujo cabeçalho de bagagem contenha um número arbitrariamente grande de pares chave-valor separados por vírgula, ou um único valor muito grande, causando consumo ilimitado de CPU e memória e permitindo uma negação de serviço remota contra qualquer serviço HTTP com propagação de bagagem habilitada. Este problema foi corrigido na versão 5.100.0.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.