Katalog CVE

CVE-2026-45678

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

OpenTelemetry eBPF Instrumentation przed wersją 0.9.0 zawierał parser protokołu Postgres, który zakładał, że ładunki wiadomości BIND zawierają prawidłową nazwę portalu zakończoną NUL. Opracowany pusty lub nieukończony ładunek może spowodować, że OBI przekroczy koniec bufora i spowoduje panikę.

Ocena ryzyka

Wykorzystanie tej podatności może prowadzić do awarii aplikacji, co może wpłynąć na dostępność usług korzystających z OpenTelemetry. Organizacje powinny być świadome ryzyka związanego z nieaktualnymi wersjami oprogramowania.

Rekomendacja

Zaleca się aktualizację OpenTelemetry eBPF Instrumentation do wersji 0.9.0 lub nowszej, aby usunąć tę podatność i zapewnić stabilność systemu.

Oryginalny opis (angielski, źródło NVD)

OpenTelemetry eBPF Instrumentation provides eBPF instrumentation based on the OpenTelemetry standard. Prior to version 0.9.0, the Postgres protocol parser assumes BIND message payloads contain a valid NUL-terminated portal name. A crafted empty or unterminated payload can make OBI slice beyond the end of the captured buffer and panic. This issue has been patched in version 0.9.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS