CVE-2026-45287
ŚrednieCVSS 5.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 8 - wyżej niż 8% wszystkich znanych CVE
Streszczenie
OpenTelemetry-Go przed wersją 0.0.17 ma problem z wyciekiem deskryptora pliku przy każdym wywołaniu `ParseFile`, co może prowadzić do wyczerpania limitu deskryptorów plików w długoterminowym procesie.
Ocena ryzyka
W przypadku wykorzystania tej podatności, atakujący może doprowadzić do odmowy usługi poprzez wyczerpanie dostępnych deskryptorów plików, co wpływa na stabilność aplikacji.
Rekomendacja
Zaleca się aktualizację do wersji 0.0.17 lub nowszej, aby załatać tę podatność i zapobiec potencjalnym atakom.
Oryginalny opis (angielski, źródło NVD)
OpenTelemetry-Go is the Go implementation of OpenTelemetry. Prior to version 0.0.17, `go.opentelemetry.io/otel/schema/v1.0` and `go.opentelemetry.io/otel/schema/v1.1` leaks one file descriptor on each successful `ParseFile` call. `ParseFile` opens the schema file and passes it to `Parse` without closing it; repeated parsing in a long-running process can exhaust the process file descriptor limit and cause denial of service. Exploitation depends on a consuming application exposing repeated schema parsing to an attacker-controlled path. Version 0.0.17 contains a patch for the issue.

