CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-45684

MediumCVSS 4.9
Published: Updated: Translated: NVD NIST

Summary

OpenTelemetry eBPF Instrumentation w wersjach od 0.7.0 do przed 0.9.0 ma problem z niewłaściwym przetwarzaniem buforów writev przez log enricher OBI, który odczytuje tylko pierwszy wpis iovec, ale używa całkowitej długości iov_iter.count jako długości kopiowania. W przypadku włączonego wstrzykiwania logów, złośliwe wywołanie writev może spowodować odczyt i nadpisanie pamięci poza pierwszym segmentem.

Risk Assessment

Organizacje mogą być narażone na ataki wstrzykiwania logów, co może prowadzić do nieautoryzowanego dostępu do pamięci i potencjalnego wycieku danych. Wykorzystanie tej podatności może prowadzić do poważnych problemów z bezpieczeństwem aplikacji.

Recommendation

Zaleca się aktualizację do wersji 0.9.0 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto monitorować logi i wprowadzić dodatkowe zabezpieczenia w celu ochrony przed wstrzykiwaniem logów.

Original NVD description (English source)

OpenTelemetry eBPF Instrumentation provides eBPF instrumentation based on the OpenTelemetry standard. From version 0.7.0 to before version 0.9.0, OBI's log enricher mishandles writev buffers by reading only the first iovec entry but using the total iov_iter.count as the copy length. When log injection is enabled, a crafted multi-segment writev call can make OBI read and overwrite memory beyond the first segment. This issue has been patched in version 0.9.0.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS