CVE-2026-45678
WysokieCVSS 7.5Streszczenie
OpenTelemetry eBPF Instrumentation przed wersją 0.9.0 zawierał parser protokołu Postgres, który zakładał, że ładunki wiadomości BIND zawierają prawidłową nazwę portalu zakończoną NUL. Opracowany pusty lub nieukończony ładunek może spowodować, że OBI przekroczy koniec bufora i spowoduje panikę.
Ocena ryzyka
Wykorzystanie tej podatności może prowadzić do awarii aplikacji, co może wpłynąć na dostępność usług korzystających z OpenTelemetry. Organizacje powinny być świadome ryzyka związanego z nieaktualnymi wersjami oprogramowania.
Rekomendacja
Zaleca się aktualizację OpenTelemetry eBPF Instrumentation do wersji 0.9.0 lub nowszej, aby usunąć tę podatność i zapewnić stabilność systemu.
Oryginalny opis (angielski, źródło NVD)
OpenTelemetry eBPF Instrumentation provides eBPF instrumentation based on the OpenTelemetry standard. Prior to version 0.9.0, the Postgres protocol parser assumes BIND message payloads contain a valid NUL-terminated portal name. A crafted empty or unterminated payload can make OBI slice beyond the end of the captured buffer and panic. This issue has been patched in version 0.9.0.

