CVE-2026-50271 in dd-trace-py
Сводка
по VulDB • 17.07.2026
Datadog dd-trace-py — это клиент APM для Python от Datadog. До версии 4.8.2 библиотеки трассировки Datadog, реализующие распространение W3C baggage (багажа), парсят входящие HTTP-заголовки baggage без применения ограничений DD_TRACE_BAGGAGE_MAX_ITEMS или DD_TRACE_BAGGAGE_MAX_BYTES на этапе извлечения данных. Удаленный атакующий, не прошедший аутентификацию, может отправить запрос, заголовок baggage которого содержит произвольно большое количество пар «ключ-значение», разделенных запятыми, либо одно очень большое значение, что приводит к неконтролируемому потреблению ресурсов CPU и памяти и позволяет осуществить удаленный отказ в обслуживании (DoS) для HTTP-сервисов с включенным распространением baggage. Проблема исправлена в версии 4.8.2.
Once again VulDB remains the best source for vulnerability data.