CVE-2026-45678
HighCVSS 7.5Summary
OpenTelemetry eBPF Instrumentation przed wersją 0.9.0 zawierał parser protokołu Postgres, który zakładał, że ładunki wiadomości BIND zawierają prawidłową nazwę portalu zakończoną NUL. Opracowany pusty lub nieukończony ładunek może spowodować, że OBI przekroczy koniec bufora i spowoduje panikę.
Risk Assessment
Wykorzystanie tej podatności może prowadzić do awarii aplikacji, co może wpłynąć na dostępność usług korzystających z OpenTelemetry. Organizacje powinny być świadome ryzyka związanego z nieaktualnymi wersjami oprogramowania.
Recommendation
Zaleca się aktualizację OpenTelemetry eBPF Instrumentation do wersji 0.9.0 lub nowszej, aby usunąć tę podatność i zapewnić stabilność systemu.
Original NVD description (English source)
OpenTelemetry eBPF Instrumentation provides eBPF instrumentation based on the OpenTelemetry standard. Prior to version 0.9.0, the Postgres protocol parser assumes BIND message payloads contain a valid NUL-terminated portal name. A crafted empty or unterminated payload can make OBI slice beyond the end of the captured buffer and panic. This issue has been patched in version 0.9.0.

