Platform
dotnet
Component
opentelemetry-dotnet
Opgelost in
1.6.1
1.6.1
CVE-2026-41078 describes a denial-of-service (DoS) vulnerability within the OpenTelemetry dotnet Jaeger exporter. This vulnerability arises from the exporter's memory management strategy, which can be exploited by attackers to induce sustained memory pressure. The vulnerability impacts versions 1.0.0 up to and including 1.6.0-rc.1. Due to the deprecation of the Jaeger exporter, no official fix is planned.
De kwetsbaarheid in OpenTelemetry dotnet ontstaat doordat de interne pooled-list sizing van de Jaeger exporter kan groeien op basis van een grote set aan spans en tags. Een kwaadwillende actor kan dit misbruiken door een grote hoeveelheid telemetry data met hoge cardinaliteit te injecteren, waardoor de geheugenallocaties onnodig toenemen. Dit resulteert in een toename van het geheugengebruik, wat uiteindelijk kan leiden tot een denial-of-service. De impact is vooral groot in omgevingen met hoge belasting en veel telemetry data, zoals productieomgevingen. Het misbruik van deze kwetsbaarheid kan leiden tot applicatie-instabiliteit en downtime.
Deze kwetsbaarheid is bekend sinds 2026-04-23. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de potentiële impact van een DoS aanval is significant. De kwetsbaarheid is opgenomen in de CISA KEV catalogus, wat de urgentie van mitigatie onderstreept. De afschaffing van OpenTelemetry.Exporter.Jaeger maakt deze kwetsbaarheid een langetermijnrisico voor systemen die deze component nog steeds gebruiken.
Organizations using OpenTelemetry dotnet versions 1.0.0 through 1.6.0-rc.1 for telemetry collection and analysis, particularly those relying on the deprecated Jaeger exporter, are at risk. Systems with limited memory resources are especially vulnerable to DoS attacks.
• dotnet / memory: Use dotnet-counters to monitor memory usage of the OpenTelemetry Jaeger exporter process. Look for sustained increases in memory allocation.
dotnet-counters -m OpenTelemetry.Exporter.Jaeger• dotnet / telemetry: Analyze telemetry data for unusually high cardinality (number of unique tags/events). Implement logging and monitoring to track the size and composition of telemetry payloads. • generic / system: Monitor system memory usage. High memory utilization by the OpenTelemetry process could indicate exploitation.
top -cdisclosure
Exploit Status
EPSS
0.06% (17% percentiel)
CISA SSVC
CVSS-vector
Aangezien er geen plan is om de kwetsbaarheid in OpenTelemetry dotnet te verhelpen, is het belangrijk om mitigatiemaatregelen te implementeren. De meest effectieve maatregel is het verminderen van de hoeveelheid telemetry data die wordt verzonden, met name data met hoge cardinaliteit. Dit kan worden bereikt door het filteren van onnodige spans en tags, of door het gebruik van aggregatie technieken. Monitoring van het geheugengebruik van de applicatie is essentieel om een DoS aanval te detecteren en te reageren. Overweeg het gebruik van resource limits en container orchestration tools om het geheugengebruik te beperken en de impact van een DoS aanval te minimaliseren. Het is sterk aanbevolen om de OpenTelemetry.Exporter.Jaeger component te verwijderen en te migreren naar een ondersteunde exporter.
Aangezien OpenTelemetry.Exporter.Jaeger is afgeschaft, wordt aanbevolen om te migreren naar een compatibele en bijgewerkte exporter. Controleer de officiële OpenTelemetry documentatie voor instructies over hoe je kunt migreren naar een alternatieve exporter. Er zal geen correctie worden verstrekt voor deze kwetsbaarheid vanwege de afschaffing van de component.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-41078 is a denial-of-service vulnerability affecting OpenTelemetry dotnet versions 1.0.0 through 1.6.0-rc.1. High-cardinality telemetry can cause memory pressure and potential service disruption.
You are affected if you are using OpenTelemetry dotnet versions 1.0.0 through 1.6.0-rc.1 and rely on the deprecated Jaeger exporter. Assess your telemetry cardinality.
No official fix is planned due to the Jaeger exporter's deprecation. Mitigate by reducing telemetry cardinality, migrating to alternative exporters, and monitoring memory usage.
There are currently no known active exploits for CVE-2026-41078, but the vulnerability remains present in affected versions.
Refer to the OpenTelemetry documentation and release notes for information regarding the deprecation of the Jaeger exporter and the vulnerability: [https://opentelemetry.io/docs/](https://opentelemetry.io/docs/)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je packages.lock.json-bestand en we vertellen je direct of je getroffen bent.