Plataforma
dotnet
Componente
opentelemetry-dotnet
Corrigido em
1.6.1
1.6.1
Uma vulnerabilidade de Denial of Service (DoS) foi identificada no OpenTelemetry dotnet, especificamente no exporter Jaeger. Essa falha ocorre quando o exporter converte dados de telemetria, podendo levar a um aumento significativo no consumo de memória e, consequentemente, a uma interrupção do serviço. A vulnerabilidade afeta versões de 1.0.0 até 1.6.0-rc.1, e, importante, não há planos para correção, sendo a informação fornecida para fins de conhecimento.
Um atacante pode explorar essa vulnerabilidade enviando um grande volume de dados de telemetria com alta cardinalidade (muitos valores únicos) ou dados influenciados para o exporter Jaeger. Isso pode levar ao crescimento descontrolado da lista interna de pool do exporter, consumindo recursos excessivos de memória no sistema. O resultado é uma pressão significativa na memória, podendo levar à lentidão do sistema, travamentos ou até mesmo a uma negação de serviço, impedindo que aplicações legítimas acessem os recursos necessários. A ausência de planos para correção aumenta o risco, pois a vulnerabilidade permanece exposta a exploração.
A vulnerabilidade foi divulgada em 23 de abril de 2026. Não há relatos públicos de exploração ativa no momento. A ausência de um patch oficial e a declaração de que o exporter Jaeger foi descontinuado em 2023 indicam um risco de segurança persistente, especialmente em sistemas que ainda dependem dessa funcionalidade. A pontuação de severidade CVSS é de 5.9 (Média).
Organizations using OpenTelemetry dotnet versions 1.0.0 through 1.6.0-rc.1 for telemetry collection and analysis, particularly those relying on the deprecated Jaeger exporter, are at risk. Systems with limited memory resources are especially vulnerable to DoS attacks.
• dotnet / memory: Use dotnet-counters to monitor memory usage of the OpenTelemetry Jaeger exporter process. Look for sustained increases in memory allocation.
dotnet-counters -m OpenTelemetry.Exporter.Jaeger• dotnet / telemetry: Analyze telemetry data for unusually high cardinality (number of unique tags/events). Implement logging and monitoring to track the size and composition of telemetry payloads. • generic / system: Monitor system memory usage. High memory utilization by the OpenTelemetry process could indicate exploitation.
top -cdisclosure
Status do Exploit
EPSS
0.06% (percentil 17%)
CISA SSVC
Vetor CVSS
Devido à ausência de planos para correção, a mitigação principal envolve a substituição do exporter Jaeger por uma alternativa mais segura e atualizada. Recomenda-se a utilização de outros exporters suportados pelo OpenTelemetry que não apresentem essa vulnerabilidade. Em ambientes onde a substituição imediata não é possível, considere limitar a quantidade de dados de telemetria enviados ao exporter Jaeger, especialmente aqueles provenientes de fontes não confiáveis. Monitore de perto o consumo de memória do sistema para detectar sinais de pressão excessiva e tomar medidas corretivas proativas.
Dado que OpenTelemetry.Exporter.Jaeger foi descontinuado, recomenda-se migrar para um exportador compatível e atualizado. Verificar a documentação oficial de OpenTelemetry para obter instruções sobre como migrar para um exportador alternativo. Não será fornecida uma correção para esta vulnerabilidade devido à descontinuação do componente.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-41078 is a denial-of-service vulnerability affecting OpenTelemetry dotnet versions 1.0.0 through 1.6.0-rc.1. High-cardinality telemetry can cause memory pressure and potential service disruption.
You are affected if you are using OpenTelemetry dotnet versions 1.0.0 through 1.6.0-rc.1 and rely on the deprecated Jaeger exporter. Assess your telemetry cardinality.
No official fix is planned due to the Jaeger exporter's deprecation. Mitigate by reducing telemetry cardinality, migrating to alternative exporters, and monitoring memory usage.
There are currently no known active exploits for CVE-2026-41078, but the vulnerability remains present in affected versions.
Refer to the OpenTelemetry documentation and release notes for information regarding the deprecation of the Jaeger exporter and the vulnerability: [https://opentelemetry.io/docs/](https://opentelemetry.io/docs/)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo packages.lock.json e descubra na hora se você está afetado.