anonhaven

CVE-2026-39882

MEDIUM CVSS 3.1: 5,3 EPSS 0.01%
Обновлено 9 апреля 2026
Opentelemetry
Параметр Значение
CVSS 5,3 (MEDIUM)
Уязвимые версии до 1.43.0
Устранено в версии 1.43.0
Тип уязвимости CWE-789
Поставщик Opentelemetry
Публичный эксплойт Нет

OpenTelemetry-Go — это реализация OpenTelemetry на Go. До версии 1.43.0 экспортеры HTTP otlp (трассировки/метрики/журналы) считывали полное тело ответа HTTP в байты в памяти. Буфер без ограничения размера.

Это можно использовать для нехватки памяти, когда настроенная конечная точка сборщика контролируется злоумышленником (или сетевой злоумышленник может заблокировать соединение экспортера). Эта уязвимость исправлена ​​в версии 1.43.0.

Показать оригинальное описание (EN)

OpenTelemetry-Go is the Go implementation of OpenTelemetry. Prior to 1.43.0, the otlp HTTP exporters (traces/metrics/logs) read the full HTTP response body into an in-memory bytes.Buffer without a size cap. This is exploitable for memory exhaustion when the configured collector endpoint is attacker-controlled (or a network attacker can mitm the exporter connection). This vulnerability is fixed in 1.43.0.

Характеристики атаки

Способ атаки
Смежная сеть
Нужен доступ к локальной сети
Сложность
Высокая
Сложно эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Нет
Нет утечки данных
Целостность
Нет
Нет модификации данных
Доступность
Высокое
Полный отказ в обслуживании

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-789

Уязвимые продукты 1

Конфигурация От (включительно) До (исключительно)
Opentelemetry Opentelemetry
cpe:2.3:a:opentelemetry:opentelemetry:*:*:*:*:*:go:*:*
 1.43.0

Ссылки 2

https://github.com/open-telemetry/opentelemetry-go/pull/8108
security-advisories@github.com
https://github.com/open-telemetry/opentelemetry-go/security/advisories/GHSA-w8r…
security-advisories@github.com
Share Post Share Share Share

Связанные уязвимости

CVE-2026-39883

Opentelemetry

7,3