MEDIUMCVE-2026-41078CVSS 5.9

OpenTelemetry .NETにおいて、Jaegerエクスポーター変換パスにおける無制限のプールリストサイズ設定により、メモリ枯渇の可能性がある

Q: CVE-2026-41078 — メモリ圧迫のOpenTelemetry dotnetとは何ですか？

CVE-2026-41078は、OpenTelemetry dotnetのJaegerエクスポーターにおける、高カーディナリティのテレメトリー入力によりメモリ圧迫を引き起こす可能性のある脆弱性です。

Q: CVE-2026-41078のOpenTelemetry dotnetで影響を受けますか？

OpenTelemetry dotnetのバージョン1.0.0から1.6.0-rc.1を使用しており、Jaegerエクスポーターを有効にしている場合は、影響を受ける可能性があります。

Q: CVE-2026-41078のOpenTelemetry dotnetを修正するにはどうすればよいですか？

公式な修正は提供されていません。Jaegerエクスポーターの使用を完全に避けることを推奨します。

Q: CVE-2026-41078のOpenTelemetry dotnetの公式アドバイザリはどこで入手できますか？

OpenTelemetryプロジェクトのドキュメントを参照してください。https://opentelemetry.io/

プラットフォーム

dotnet

コンポーネント

opentelemetry-dotnet

修正版

1.6.1

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-41078は、OpenTelemetry dotnetのJaegerエクスポーターにおけるメモリ管理の脆弱性です。高カーディナリティのテレメトリーデータが送信されると、内部プールリストのサイズが過剰に増加し、そのサイズが再利用されることでメモリ圧迫が発生する可能性があります。この脆弱性は、サービス拒否（DoS）攻撃につながるリスクがあり、OpenTelemetry dotnetのバージョン1.0.0から1.6.0-rc.1に影響を与えます。現在、修正計画はありません。

影響と攻撃シナリオ

この脆弱性は、攻撃者が高カーディナリティのタグやイベントデータをOpenTelemetryに送信することで悪用される可能性があります。これにより、Jaegerエクスポーターの内部プールリストのサイズが異常に大きくなり、メモリ消費量が増大します。メモリ消費量が増大し続けると、システムリソースが枯渇し、サービスが停止する可能性があります。攻撃者は、この脆弱性を利用して、標的システムの可用性を低下させ、サービス拒否状態を引き起こすことが可能です。特に、高負荷な環境や、外部からのテレメトリーデータを受け入れるシステムにおいて、この脆弱性の影響は大きくなる可能性があります。

悪用の状況

このCVEは、2026年4月23日に公開されました。現在、この脆弱性を悪用する公開されたPoCは確認されていません。CISA KEVカタログへの登録状況も確認されていません。この脆弱性は、非推奨のコンポーネントの使用に関連しているため、攻撃対象となる可能性は低いと考えられますが、高カーディナリティのテレメトリーデータを扱うシステムでは、潜在的なリスクとして認識しておく必要があります。

リスク対象者翻訳中…

Organizations using OpenTelemetry dotnet versions 1.0.0 through 1.6.0-rc.1 for telemetry collection and analysis, particularly those relying on the deprecated Jaeger exporter, are at risk. Systems with limited memory resources are especially vulnerable to DoS attacks.

検出手順翻訳中…

• dotnet / memory: Use dotnet-counters to monitor memory usage of the OpenTelemetry Jaeger exporter process. Look for sustained increases in memory allocation.

dotnet-counters -m OpenTelemetry.Exporter.Jaeger

• dotnet / telemetry: Analyze telemetry data for unusually high cardinality (number of unique tags/events). Implement logging and monitoring to track the size and composition of telemetry payloads. • generic / system: Monitor system memory usage. High memory utilization by the OpenTelemetry process could indicate exploitation.

top -c

攻撃タイムライン

2026-04-23Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.06% (17% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントopentelemetry-dotnet

ベンダーopen-telemetry

影響範囲修正版

<= 1.6.0-rc.1 – <= 1.6.0-rc.11.6.1

1.6.0-rc.1—

弱点分類 (CWE)

CWE-770

タイムライン

予約済み2026-04-16
公開日2026-04-23
EPSS 更新日2026-05-01

未パッチ — 公開から31日経過

緩和策と回避策

この脆弱性に対する公式な修正は提供されていません。OpenTelemetryプロジェクトは、OpenTelemetry.Exporter.Jaegerを2023年に非推奨としています。そのため、最も推奨される緩和策は、Jaegerエクスポーターの使用を完全に避けることです。代替のエクスポーター（例えば、OpenTelemetry Protocol (OTLP) エクスポーター）を使用することを検討してください。また、テレメトリーデータのカーディナリティを制限することで、メモリ消費量を抑制できる可能性があります。アプリケーションレベルで、不要なタグやイベントの送信を抑制するなどの対策を講じることが重要です。

修正方法

OpenTelemetry.Exporter.Jaegerが非推奨となっているため、互換性があり最新のエクスポーターに移行することをお勧めします。代替エクスポーターへの移行方法については、OpenTelemetryの公式ドキュメントを参照してください。コンポーネントの非推奨化のため、この脆弱性に対する修正は提供されません。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-41078 — メモリ圧迫のOpenTelemetry dotnetとは何ですか？