CVE-2026-41484OpenTelemetry.Exporter.OneCollector是一款.NET遥测导出器。在1.15.0及更早版本中,当向后端发送请求收到HTTP错误响应时,`HttpJsonPostTransport`类会将整个响应体读入内存且未设置大小上限。攻击者若控制后端或实施中间人攻击,可返回任意大的响应体。这将导致目标进程无限制堆分配,引发高内存压力、GC停顿甚至进程崩溃,造成拒绝服务。
该漏洞的核心在于资源管理不当,具体表现为对错误响应体读取缺乏边界检查。在OpenTelemetry.Exporter.OneCollector组件中,`HttpJsonPostTransport`类负责通过HTTP发送遥测数据。当目标端点返回4xx或5xx状态码时,系统为了记录错误详情,会尝试读取HTTP响应体。然而,代码逻辑中未对读取的字节数进行任何限制。攻击者通过控制配置的端点或利用中间人攻击拦截流量,可以响应一个包含巨大数据负载的HTTP错误包。应用程序在处理该响应时,会尝试将全部数据加载至堆内存中,导致内存消耗激增。这种无限制的内存分配不仅会占用大量系统资源,还会触发频繁且耗时的垃圾回收(GC),最终导致应用程序抛出OutOfMemoryException而终止服务,破坏系统可用性。