MEDIUMCVE-2026-41078CVSS 5.9

OpenTelemetry .NET 在 Jaeger 导出器转换路径中存在潜在的内存耗尽问题，原因是无界池化列表大小调整

Q: 什么是 CVE-2026-41078 — 内存压力问题在 OpenTelemetry dotnet 中？

CVE-2026-41078 描述了 OpenTelemetry dotnet 1.0.0–1.6.0-rc.1 版本中 Jaeger 导出器可能导致拒绝服务的问题，高基数遥测数据可能导致内存消耗增加。

Q: 我是否受到 CVE-2026-41078 在 OpenTelemetry dotnet 中影响？

如果您正在使用 OpenTelemetry dotnet 的 1.0.0 到 1.6.0-rc.1 版本，并且使用了 OpenTelemetry.Exporter.Jaeger，则可能受到影响。

Q: 我如何修复 CVE-2026-41078 在 OpenTelemetry dotnet 中？

由于 OpenTelemetry.Exporter.Jaeger 已弃用，没有官方修复程序。建议尽快停止使用 Jaeger 导出器并迁移到其他支持的导出器。

Q: CVE-2026-41078 是否正在被积极利用？

目前没有已知的公开利用程序或证据表明该漏洞正在被积极利用，但由于已公开披露，存在潜在风险。

Q: 在哪里可以找到 OpenTelemetry dotnet 中 CVE-2026-41078 的官方公告？

请参考 OpenTelemetry 官方文档和安全公告，以获取有关此漏洞的更多信息。

平台

dotnet

组件

opentelemetry-dotnet

修复版本

1.6.1

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-41078 描述了 OpenTelemetry dotnet 1.0.0 到 1.6.0-rc.1 版本中 Jaeger 导出器潜在的内存压力问题。在高基数或攻击者控制的遥测输入下，该问题可能导致拒绝服务 (DoS)。由于 OpenTelemetry.Exporter.Jaeger 已于 2023 年弃用，此问题目前没有计划修复，仅作为信息参考。

影响与攻击场景

该漏洞利用攻击者通过发送大量具有高基数的遥测数据（例如，大量标签或事件）来触发。攻击者可以精心构造这些数据，以最大化内存分配，从而导致 OpenTelemetry dotnet 应用程序耗尽可用内存。这可能导致应用程序崩溃、性能下降，甚至整个系统的不可用。由于 Jaeger 导出器已弃用，攻击者可能需要找到其他方式来影响遥测数据，例如通过其他 OpenTelemetry 导出器或中间件。虽然没有直接的远程代码执行 (RCE) 风险，但拒绝服务的影响可能对关键业务系统造成严重中断。

利用背景

该漏洞已公开披露，但由于 OpenTelemetry.Exporter.Jaeger 已弃用，因此实际利用的可能性较低。目前没有已知的公开利用程序 (PoC)，也没有证据表明该漏洞正在被积极利用。该漏洞已添加到 CISA KEV 目录中，但其 EPSS 评分尚未确定。由于 OpenTelemetry.Exporter.Jaeger 的弃用状态，该漏洞的风险被认为是较低的。

哪些人处于风险中翻译中…

Organizations using OpenTelemetry dotnet versions 1.0.0 through 1.6.0-rc.1 for telemetry collection and analysis, particularly those relying on the deprecated Jaeger exporter, are at risk. Systems with limited memory resources are especially vulnerable to DoS attacks.

检测步骤翻译中…

• dotnet / memory: Use dotnet-counters to monitor memory usage of the OpenTelemetry Jaeger exporter process. Look for sustained increases in memory allocation.

dotnet-counters -m OpenTelemetry.Exporter.Jaeger

• dotnet / telemetry: Analyze telemetry data for unusually high cardinality (number of unique tags/events). Implement logging and monitoring to track the size and composition of telemetry payloads. • generic / system: Monitor system memory usage. High memory utilization by the OpenTelemetry process could indicate exploitation.

top -c

攻击时间线

2026-04-23Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.06% (17% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响partial

CVSS 向量

受影响的软件

组件opentelemetry-dotnet

供应商open-telemetry

影响范围修复版本

<= 1.6.0-rc.1 – <= 1.6.0-rc.11.6.1

1.6.0-rc.1—

弱点分类 (CWE)

CWE-770

时间线

已保留2026-04-16
发布日期2026-04-23
EPSS 更新日期2026-05-01

未修复 — 披露已31天

缓解措施和替代方案

由于 OpenTelemetry.Exporter.Jaeger 已于 2023 年弃用，因此没有官方修复程序。建议尽快停止使用 OpenTelemetry.Exporter.Jaeger，并迁移到其他支持的导出器。如果无法立即迁移，可以考虑限制遥测数据中标签和事件的数量，以减少内存消耗。此外，监控应用程序的内存使用情况，并设置警报以检测异常情况。虽然没有直接的 WAF 规则或代理规则可以缓解此问题，但可以配置系统资源限制，以防止单个进程耗尽所有可用内存。

修复方法

由于 OpenTelemetry.Exporter.Jaeger 已弃用，建议迁移到兼容且更新的导出器。请参阅 OpenTelemetry 官方文档以获取有关如何迁移到替代导出器的说明。由于组件已弃用，因此将不提供此漏洞的修复。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2026-41078 — 内存压力问题在 OpenTelemetry dotnet 中？