CVE-2024-42368

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2024-42368
OpenTelemetry, also known as OTel, is a vendor-neutral open source Observability framework for instrumenting, generating, collecting, and exporting telemetry data such as traces, metrics, and logs. The bearertokenauth extension's server authenticator performs a simple, non-constant time string comparison of the received & configured bearer tokens. This impacts anyone using the `bearertokenauth` server authenticator. Malicious clients with network access to the collector may perform a timing attack against a collector with this authenticator to guess the configured token, by iteratively sending tokens and comparing the response time. This would allow an attacker to introduce fabricated or bad data into the collector's telemetry pipeline. The observable timing vulnerability was fixed by using constant-time comparison in 0.107.0

6.5 /10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 3.9 / Impact : 2.5

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction NONE

Confidentiality Impact NONE

Integrity Impact LOW

Availability Impact LOW

Scope UNCHANGED

References
Link Resource
https://github.com/open-telemetry/opentelemetry-collector-contrib/commit/c9bd3eff0bb357d9c812a0d8defd3b09db95699a
https://github.com/open-telemetry/opentelemetry-collector-contrib/pull/34516
https://github.com/open-telemetry/opentelemetry-collector-contrib/security/advisories/GHSA-rfxf-mf63-cpqv
Configurations

No configuration.

History

15 Apr 2026, 00:35

Type Values Removed Values Added
Summary
  • (es) OpenTelemetry, también conocido como OTel, es un framework de observabilidad de código abierto, independiente del proveedor, para instrumentar, generar, recopilar y exportar datos de telemetría, como seguimientos, métricas y registros. El autenticador del servidor de la extensión Bearertokenauth realiza una comparación de cadenas de tiempo simple y no constante de los tokens de portador recibidos y configurados. Esto afecta a cualquiera que utilice el autenticador del servidor "bearertokenauth". Los clientes malintencionados con acceso a la red del recopilador pueden realizar un ataque de sincronización contra un recopilador con este autenticador para adivinar el token configurado, enviando tokens de forma iterativa y comparando el tiempo de respuesta. Esto permitiría a un atacante introducir datos falsos o incorrectos en el canal de telemetría del recopilador. La vulnerabilidad de tiempo observable se solucionó mediante el uso de comparación de tiempo constante en 0.107.0

13 Aug 2024, 20:15

Type Values Removed Values Added
New CVE
Information

Published : 2024-08-13 20:15

Updated : 2026-04-15 00:35

NVD link : CVE-2024-42368

Mitre link : CVE-2024-42368

CVE.ORG link : CVE-2024-42368

JSON object : View

Products Affected

No product.

CWE
CWE-208

Observable Timing Discrepancy