Plateforme
dotnet
Composant
opentelemetry-dotnet
Corrigé dans
1.6.1
1.6.1
Une vulnérabilité de déni de service (DoS) a été identifiée dans OpenTelemetry dotnet, affectant les versions de 1.0.0 à 1.6.0-rc.1 incluses. Cette vulnérabilité découle d'une gestion inefficace de la mémoire lors du traitement de données télémétriques à haute cardinalité, ce qui peut entraîner une consommation excessive de mémoire et potentiellement rendre le système indisponible. Il est important de noter qu'aucune correction n'est prévue pour cette vulnérabilité, car l'exporter Jaeger a été déprécié en 2023.
L'exploitation réussie de cette vulnérabilité peut entraîner un déni de service, empêchant les applications de fonctionner correctement. Un attaquant pourrait influencer les données télémétriques envoyées à OpenTelemetry dotnet, en particulier en manipulant la cardinalité des balises et des événements. Cette manipulation pourrait provoquer une croissance excessive de la mémoire allouée, épuisant les ressources système et entraînant un plantage ou une lenteur significative de l'application. L'impact est potentiellement élevé pour les environnements de production où la disponibilité est critique. Bien qu'aucune exploitation active n'ait été signalée, la nature de la vulnérabilité et l'absence de correctif la rendent préoccupante.
Cette vulnérabilité a été divulguée le 2026-04-23. Elle n'a pas été ajoutée au KEV (Know Exploited Vulnerabilities) de CISA à ce jour. La probabilité d'exploitation est considérée comme moyenne en raison de l'absence de correctif et de la possibilité pour un attaquant d'influencer les données télémétriques. Bien qu'aucun proof-of-concept public n'ait été publié, la description de la vulnérabilité permet de concevoir des attaques potentielles.
Organizations using OpenTelemetry dotnet versions 1.0.0 through 1.6.0-rc.1 for telemetry collection and analysis, particularly those relying on the deprecated Jaeger exporter, are at risk. Systems with limited memory resources are especially vulnerable to DoS attacks.
• dotnet / memory: Use dotnet-counters to monitor memory usage of the OpenTelemetry Jaeger exporter process. Look for sustained increases in memory allocation.
dotnet-counters -m OpenTelemetry.Exporter.Jaeger• dotnet / telemetry: Analyze telemetry data for unusually high cardinality (number of unique tags/events). Implement logging and monitoring to track the size and composition of telemetry payloads. • generic / system: Monitor system memory usage. High memory utilization by the OpenTelemetry process could indicate exploitation.
top -cdisclosure
Statut de l'Exploit
EPSS
0.06% (percentile 17%)
CISA SSVC
Vecteur CVSS
Étant donné qu'aucune correction n'est prévue pour cette vulnérabilité, la mitigation se concentre sur la réduction de l'exposition et l'atténuation de l'impact potentiel. La première étape consiste à désactiver ou supprimer l'exporter Jaeger si possible, car il est obsolète. Si cela n'est pas possible, limitez la quantité de données télémétriques envoyées à OpenTelemetry dotnet, en particulier les données à haute cardinalité. Examinez attentivement les balises et les événements collectés et supprimez ceux qui ne sont pas essentiels. Surveillez attentivement l'utilisation de la mémoire par le processus OpenTelemetry dotnet et configurez des alertes en cas de consommation excessive. L'utilisation d'un pare-feu d'application web (WAF) peut également aider à bloquer les requêtes malveillantes conçues pour exploiter cette vulnérabilité.
Étant donné qu'OpenTelemetry.Exporter.Jaeger a été déprécié, il est recommandé de migrer vers un exportateur compatible et à jour. Vérifier la documentation officielle d'OpenTelemetry pour obtenir des instructions sur la façon de migrer vers un exportateur alternatif. Aucune correction ne sera fournie pour cette vulnérabilité en raison de la dépréciation du composant.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-41078 is a denial-of-service vulnerability affecting OpenTelemetry dotnet versions 1.0.0 through 1.6.0-rc.1. High-cardinality telemetry can cause memory pressure and potential service disruption.
You are affected if you are using OpenTelemetry dotnet versions 1.0.0 through 1.6.0-rc.1 and rely on the deprecated Jaeger exporter. Assess your telemetry cardinality.
No official fix is planned due to the Jaeger exporter's deprecation. Mitigate by reducing telemetry cardinality, migrating to alternative exporters, and monitoring memory usage.
There are currently no known active exploits for CVE-2026-41078, but the vulnerability remains present in affected versions.
Refer to the OpenTelemetry documentation and release notes for information regarding the deprecation of the Jaeger exporter and the vulnerability: [https://opentelemetry.io/docs/](https://opentelemetry.io/docs/)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier packages.lock.json et nous te dirons instantanément si tu es affecté.