CVE-2026-45686
HighCVSS 7.5Summary
OpenTelemetry eBPF Instrumentation zawiera podatność na przepełnienie całkowitej liczby w parserze protokołu tekstowego memcached OBI, która występuje w wersjach od 0.7.0 do przed 0.9.0. W wyniku tej podatności, złośliwe żądanie może spowodować awarię procesu OBI i prowadzić do odmowy usługi.
Risk Assessment
Organizacja może doświadczyć przerwy w dostępności usług związanych z OBI, co może wpłynąć na działanie aplikacji korzystających z memcached. Atakujący mogą wykorzystać tę podatność do zdalnego wywołania awarii systemu.
Recommendation
Zaleca się aktualizację do wersji 0.9.0 lub nowszej, aby usunąć tę podatność. Należy również monitorować systemy pod kątem nieautoryzowanych prób wykorzystania tej luki.
Original NVD description (English source)
OpenTelemetry eBPF Instrumentation provides eBPF instrumentation based on the OpenTelemetry standard. From version 0.7.0 to before version 0.9.0, a remotely reachable integer overflow in OBI's memcached text protocol parser can crash the OBI process and cause denial of service. When parsing memcached storage commands such as set, add, replace, append, prepend, or cas, OBI accepts extremely large <bytes> values and adds the payload delimiter length without checking for overflow. A crafted request with <bytes> set to math.MaxInt or math.MaxInt-1 causes the computed payload length to wrap negative and triggers a runtime panic in LargeBufferReader.Peek. This issue has been patched in version 0.9.0.

