Vulnerabilidad en Swift W3C (CVE-2026-23886)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
19/01/2026
Última modificación:
26/01/2026
Descripción
Swift W3C TraceContext es una implementación en Swift del estándar W3C Trace Context, y Swift OTel es un backend del Protocolo OpenTelemetry (OTLP) para Swift Log, Swift Metrics y Swift Distributed Tracing. Antes de Swift W3C TraceContext versión 1.0.0-beta.5 y Swift OTel versión 1.0.4, una vulnerabilidad de denegación de servicio debido a una validación de entrada incorrecta permite a un atacante remoto bloquear el servicio a través de un encabezado HTTP malformado. Esto permite bloquear el proceso con datos provenientes de la red cuando se usa con, por ejemplo, un servidor HTTP. La forma más común de usar Swift W3C Trace Context es a través de Swift OTel. La versión 1.0.0-beta.5 de Swift W3C TraceContext y la versión 1.0.4 de Swift OTel contienen un parche para este problema. Como solución alternativa, deshabilite Swift OTel o el código que extrae la información de rastreo de un encabezado entrante (como un 'TracingMiddleware').
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://github.com/swift-otel/swift-otel/releases/tag/1.0.4
- https://github.com/swift-otel/swift-w3c-trace-context/commit/5da9b143ba6046734de3fa51dafea28290174e4e
- https://github.com/swift-otel/swift-w3c-trace-context/releases/tag/1.0.0-beta.5
- https://github.com/swift-otel/swift-w3c-trace-context/security/advisories/GHSA-mvpq-2v8x-ww6g