製品・ソフトウェアに関する情報

JVN脆弱性詳細

opentelemetryにおける過剰なサイズ値のメモリ割り当てに関する脆弱性

Title	opentelemetryにおける過剰なサイズ値のメモリ割り当てに関する脆弱性
Summary	OpenTelemetry dotnetは、dotnetのテレメトリフレームワークです。バージョン1.13.1から1.15.2未満の間、OpenTelemetryプロトコル形式（OTLP）を使用してgRPCまたはHTTP経由でバックエンドやコレクターにテレメトリをエクスポートする際に、リクエストが失敗した場合（HTTPの4xxまたは5xx）、レスポンスがメモリに読み込まれ、その際に消費されるバイト数に上限がありませんでした。これにより、設定されたバックエンドやコレクターのエンドポイントが攻撃者によって制御されている場合（またはネットワーク攻撃者が接続を中間者攻撃で傍受できる場合）、レスポンスによって非常に大きな本文が返されると、使用しているアプリケーションのメモリが枯渇する可能性がありました。この脆弱性はバージョン1.15.2で修正されています。
Possible impacts	当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。また、当該ソフトウェアが扱う情報について、書き換えは発生しません。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	April 23, 2026, midnight
Registration Date	April 30, 2026, 11:02 a.m.
Last Update	April 30, 2026, 11:02 a.m.

CVSS3.0 : 警告
Score	5.9
Vector	CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H

Affected System

opentelemetry

opentelemetry 1.13.1 以上 1.15.2 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-40182	https://www.cve.org/CVERecord?id=CVE-2026-40182
National Vulnerability Database (NVD)
2	CVE-2026-40182	https://nvd.nist.gov/vuln/detail/CVE-2026-40182

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-789	https://cwe.mitre.org/data/definitions/789.html

ベンダー情報

No	Name	URL
GitHub
1	OTLP exporter reads unbounded HTTP response bodies Advisory open-telemetry/opentelemetry-dotnet GitHub	https://github.com/open-telemetry/opentelemetry-dotnet/security/advisories/GHSA-q834-8qmm-v933

その他

No	Name	URL
関連文書
1	docs: add response size limitation by pellared Pull Request #781 open-telemetry/opentelemetry-proto GitHub	https://github.com/open-telemetry/opentelemetry-proto/pull/781
2	[OTLP] Limit response body size read by exporters by martincostello Pull Request #7017 open-telemetry/opentelemetry-dotnet GitHub	https://github.com/open-telemetry/opentelemetry-dotnet/pull/7017
3	[OTLP] Refactor OpenTelemetry Collector integration tests and log HTTP response when export fails by martincostello Pull Request #6564 open-telemetry/opentelemetry-dotnet GitHub	https://github.com/open-telemetry/opentelemetry-dotnet/pull/6564

Change Log

No	Changed Details	Date of change
1	[2026年04月30日] 掲載	April 30, 2026, 11:02 a.m.

NVD Vulnerability Information

CVE-2026-40182

Summary	OpenTelemetry dotnet is a dotnet telemetry framework. From 1.13.1 to before 1.15.2, When exporting telemetry to a back-end/collector over gRPC or HTTP using OpenTelemetry Protocol format (OTLP), if the request results in a unsuccessful request (i.e. HTTP 4xx or 5xx), the response is read into memory with no upper-bound on the number of bytes consumed. This could cause memory exhaustion in the consuming application if the configured back-end/collector endpoint is attacker-controlled (or a network attacker can MitM the connection) and an extremely large body is returned by the response. This vulnerability is fixed in 1.15.2.
Publication Date	April 24, 2026, 3:16 a.m.
Registration Date	April 25, 2026, 4:06 a.m.
Last Update	April 29, 2026, 10:52 p.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:opentelemetry:opentelemetry::::::.net::*		1.13.1			1.15.2

Related information, measures and tools

No	URL	refsource
1	https://github.com/open-telemetry/opentelemetry-dotnet/pull/6564	security-advisories@github.com
2	https://github.com/open-telemetry/opentelemetry-dotnet/pull/7017	security-advisories@github.com
3	https://github.com/open-telemetry/opentelemetry-dotnet/security/advisories/GHSA-q834-8qmm-v933	security-advisories@github.com
4	https://github.com/open-telemetry/opentelemetry-proto/pull/781	security-advisories@github.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-789	過剰なサイズ値のメモリ割り当て	https://cwe.mitre.org/data/definitions/789.html