Katalog CVE

CVE-2026-54712

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.24%

Percentyl 15 — wyżej niż 15% wszystkich znanych CVE

Streszczenie

W bibliotece OpenTelemetry Java Instrumentation przed wersją 2.27.0 wykryto podatność polegającą na braku ograniczenia rozmiaru danych odczytywanych ze strumienia w mechanizmie propagacji kontekstu RMI. Atakujący mogący wysłać żądanie do punktu końcowego RMI w instrumentowanej maszynie JVM może przesłać zbyt duży ładunek kontekstu, co prowadzi do nadmiernego przydziału pamięci i potencjalnie do odmowy usługi (DoS). Problem dotyczy tylko wdrożeń z włączoną instrumentacją RMI i dostępnym sieciowo punktem końcowym RMI.

Ocena ryzyka

Organizacja narażona jest na atak DoS, który może zakłócić działanie aplikacji Java korzystających z instrumentacji OpenTelemetry i protokołu RMI. Atakujący może przeciążyć pamięć serwera, powodując niedostępność usługi.

Rekomendacja

Należy niezwłocznie zaktualizować bibliotekę OpenTelemetry Java Instrumentation do wersji 2.27.0 lub nowszej. Jeśli aktualizacja nie jest możliwa, rozważ wyłączenie instrumentacji RMI lub ograniczenie dostępu sieciowego do punktów końcowych RMI.

Oryginalny opis (angielski, źródło NVD)

OpenTelemetry Java Instrumentation provides OpenTelemetry auto-instrumentation and instrumentation libraries for Java. In versions prior to 2.27.0, the RMI context propagation payload reader limits the number of context entries but does not limit the aggregate size of the strings read from the stream. An attacker who can reach an RMI endpoint on an instrumented JVM can send an oversized context propagation payload. This can cause excessive memory allocation while the JVM reads the payload, potentially leading to denial of service. The issue affects only deployments where RMI instrumentation is enabled and an RMI endpoint is network-reachable. This issue has been fixed in version 2.27.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS