製品・ソフトウェアに関する情報
Vulnerability Search
opentelemetryのeBPF Instrumentationにおける複数の脆弱性
Title opentelemetryのeBPF Instrumentationにおける複数の脆弱性
Summary

OpenTelemetry eBPF インストルメンテーションは、OpenTelemetry 標準に基づく eBPF インストルメンテーションを提供します。バージョン0.1.0から0.9.0未満までの間に、破損した MongoDB ワイヤーメッセージが MongoDB TCP パーサーで未処理のパニックを引き起こす可能性があり、これによりリモートの認証されていない攻撃者がテレメトリエージェントをクラッシュさせ、サービス拒否を引き起こすことがあります。パーサーは入力が完全に検証される前に攻撃者が制御する生のネットワークペイロード上で動作するため、単一の細工されたメッセージが影響を受けるプロセスまたはノードのテレメトリ収集を終了させることがあります。この問題はバージョン0.9.0で修正されています。

Possible impacts ・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 ・当該ソフトウェアが扱う情報について、書き換えは発生しません。 ・当該ソフトウェアが完全に停止する可能性があります。 
Solution

ベンダ情報を参照して適切な対策を実施してください。

Publication Date June 2, 2026, midnight
Registration Date June 5, 2026, 10:50 a.m.
Last Update June 5, 2026, 10:50 a.m.
CVSS3.0 : 重要
Score 7.5
Vector CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Affected System
opentelemetry
eBPF Instrumentation 0.1.0 以上 0.9.0 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
1 [2026年06月05日]
  掲載		 June 5, 2026, 10:50 a.m.
NVD Vulnerability Information
CVE-2026-45685
Summary

OpenTelemetry eBPF Instrumentation provides eBPF instrumentation based on the OpenTelemetry standard. From version 0.1.0 to before version 0.9.0, malformed MongoDB wire messages can trigger uncaught panics in the MongoDB TCP parser, allowing a remote unauthenticated attacker to crash the telemetry agent and cause a denial of service. The parser operates on raw attacker-controlled network payloads before the input is fully validated, so a single crafted message can terminate telemetry collection for the affected process or node. This issue has been patched in version 0.9.0.

Publication Date June 3, 2026, 1:16 a.m.
Registration Date June 3, 2026, 4:18 a.m.
Last Update June 4, 2026, 1:52 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:opentelemetry:ebpf_instrumentation:*:*:*:*:*:go:*:* 0.1.0 0.9.0
Related information, measures and tools
Common Vulnerabilities List