Plataforma
dotnet
Componente
opentelemetry-dotnet
Corregido en
1.6.1
1.6.1
Se ha identificado una vulnerabilidad de denegación de servicio (DoS) en OpenTelemetry dotnet, específicamente en el exportador Jaeger. Esta vulnerabilidad surge debido a un manejo ineficiente de la memoria, donde el tamaño de la lista agrupada interna puede crecer excesivamente bajo condiciones de alta cardinalidad o cuando un atacante influye en los datos de telemetría. Las versiones afectadas son 1.0.0 hasta la 1.6.0-rc.1. Debido a que el exportador Jaeger fue descontinuado en 2023, no se planea una corrección directa.
Un atacante podría explotar esta vulnerabilidad enviando un flujo constante de datos de telemetría con alta cardinalidad (muchos tags o eventos únicos) al exportador Jaeger. Esto provocaría que el exportador asignara continuamente más memoria, lo que eventualmente podría agotar los recursos del sistema y causar una denegación de servicio. El impacto principal es la indisponibilidad del servicio que utiliza OpenTelemetry dotnet para la instrumentación y el monitoreo. La severidad del impacto dependerá de la cantidad de recursos disponibles en el sistema y de la carga de telemetría que se esté procesando. Aunque no se trata de una vulnerabilidad de ejecución remota de código (RCE), la denegación de servicio puede interrumpir operaciones críticas y afectar la disponibilidad de los servicios monitoreados.
Esta vulnerabilidad fue publicada el 2026-04-23. Actualmente no se conocen ataques activos dirigidos a esta vulnerabilidad. No se ha añadido a KEV (CISA Known Exploited Vulnerabilities) ni se ha asignado un puntaje EPSS. La falta de una corrección oficial y la naturaleza de la vulnerabilidad (DoS) sugieren que, aunque no es una amenaza inmediata, podría ser explotada en el futuro si se identifican técnicas de ataque más efectivas.
Organizations using OpenTelemetry dotnet versions 1.0.0 through 1.6.0-rc.1 for telemetry collection and analysis, particularly those relying on the deprecated Jaeger exporter, are at risk. Systems with limited memory resources are especially vulnerable to DoS attacks.
• dotnet / memory: Use dotnet-counters to monitor memory usage of the OpenTelemetry Jaeger exporter process. Look for sustained increases in memory allocation.
dotnet-counters -m OpenTelemetry.Exporter.Jaeger• dotnet / telemetry: Analyze telemetry data for unusually high cardinality (number of unique tags/events). Implement logging and monitoring to track the size and composition of telemetry payloads. • generic / system: Monitor system memory usage. High memory utilization by the OpenTelemetry process could indicate exploitation.
top -cdisclosure
Estado del Exploit
EPSS
0.06% (17% percentil)
CISA SSVC
Vector CVSS
Dado que no se planea una corrección directa para esta vulnerabilidad, la mitigación se centra en reducir la probabilidad de que se active el problema. La primera medida es monitorear de cerca el uso de memoria del proceso que ejecuta OpenTelemetry dotnet. Si se detecta un aumento inusual en el uso de memoria, se debe investigar la causa y tomar medidas para reducir la cardinalidad de los datos de telemetría. Esto puede implicar filtrar tags o eventos innecesarios, o utilizar un muestreo más agresivo. Considerar la migración a un exportador de OpenTelemetry alternativo que no tenga esta vulnerabilidad. Implementar límites de recursos (resource limits) en el entorno de despliegue para evitar que un proceso consuma todos los recursos del sistema. Si es posible, reducir la cantidad de datos de telemetría que se envían al exportador Jaeger.
Dado que OpenTelemetry.Exporter.Jaeger ha sido deprecado, se recomienda migrar a un exportador compatible y actualizado. Verificar la documentación oficial de OpenTelemetry para obtener instrucciones sobre cómo migrar a un exportador alternativo. No se proporcionará una corrección para esta vulnerabilidad debido a la deprecación del componente.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-41078 is a denial-of-service vulnerability affecting OpenTelemetry dotnet versions 1.0.0 through 1.6.0-rc.1. High-cardinality telemetry can cause memory pressure and potential service disruption.
You are affected if you are using OpenTelemetry dotnet versions 1.0.0 through 1.6.0-rc.1 and rely on the deprecated Jaeger exporter. Assess your telemetry cardinality.
No official fix is planned due to the Jaeger exporter's deprecation. Mitigate by reducing telemetry cardinality, migrating to alternative exporters, and monitoring memory usage.
There are currently no known active exploits for CVE-2026-41078, but the vulnerability remains present in affected versions.
Refer to the OpenTelemetry documentation and release notes for information regarding the deprecation of the Jaeger exporter and the vulnerability: [https://opentelemetry.io/docs/](https://opentelemetry.io/docs/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo packages.lock.json y te decimos al instante si estás afectado.