製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

opentelemetryのOpenTelemetry eBPF Instrumentationにおける複数の脆弱性

タイトル	opentelemetryのOpenTelemetry eBPF Instrumentationにおける複数の脆弱性
概要	OpenTelemetry eBPFインストルメンテーションは、OpenTelemetry標準に基づくeBPFインストルメンテーションを提供します。バージョン0.4.0から0.8.0未満の間、Javaエージェントの注入経路に欠陥があり、Javaワークロードを制御するローカル攻撃者がJava注入が有効でOBIが昇格権限で実行されている場合に、任意のホストファイルを上書きできました。インジェクターはターゲットプロセスの信頼されたTMPDIRを使用しており、安全でないファイル作成のセマンティクスを用いていたため、ファイルシステムの境界を脱出し、シンボリックリンクを利用してファイルを破壊できました。この脆弱性はバージョン0.8.0で修正されています。
想定される影響	当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年4月24日0:00
登録日	2026年5月18日12:05
最終更新日	2026年5月18日12:05

CVSS3.0 : 重要
スコア	8.4
ベクター	CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H

影響を受けるシステム

opentelemetry

OpenTelemetry eBPF Instrumentation 0.4.0 以上 0.8.0 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-41433	https://www.cve.org/CVERecord?id=CVE-2026-41433
National Vulnerability Database (NVD)
2	CVE-2026-41433	https://nvd.nist.gov/vuln/detail/CVE-2026-41433

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-22	https://jvndb.jvn.jp/ja/cwe/CWE-22.html
2	CWE-59	https://jvndb.jvn.jp/ja/cwe/CWE-59.html

ベンダー情報

No	名前	URL
GitHub
1	Privileged Java agent injection allows arbitrary host file overwrite via untrusted TMPDIR Advisory open-telemetry/opentelemetry-ebpf-instrumentation GitHub	https://github.com/open-telemetry/opentelemetry-ebpf-instrumentation/security/advisories/GHSA-8gmg-3w2q-65f4

その他

No	名前	URL
関連文書
1	Release v0.8.0 open-telemetry/opentelemetry-ebpf-instrumentation GitHub	https://github.com/open-telemetry/opentelemetry-ebpf-instrumentation/releases/tag/v0.8.0

変更履歴

No	変更内容	変更日
1	[2026年05月18日] 掲載	2026年5月18日12:05

NVD脆弱性情報

CVE-2026-41433

概要	OpenTelemetry eBPF Instrumentation provides eBPF instrumentation based on the OpenTelemetry standard. From 0.4.0 to before 0.8.0, a flaw in the Java agent injection path allows a local attacker controlling a Java workload to overwrite arbitrary host files when Java injection is enabled and OBI is running with elevated privileges. The injector trusted TMPDIR from the target process and used unsafe file creation semantics, enabling both filesystem boundary escape and symlink-based file clobbering. This vulnerability is fixed in 0.8.0.
公表日	2026年4月25日5:16
登録日	2026年4月26日4:07
最終更新日	2026年4月28日3:57

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/open-telemetry/opentelemetry-ebpf-instrumentation/releases/tag/v0.8.0	security-advisories@github.com
2	https://github.com/open-telemetry/opentelemetry-ebpf-instrumentation/security/advisories/GHSA-8gmg-3w2q-65f4	security-advisories@github.com
3	https://github.com/open-telemetry/opentelemetry-ebpf-instrumentation/security/advisories/GHSA-8gmg-3w2q-65f4	134c704f-9b21-4f2e-91b3-4a467353bcc0

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-22	パス・トラバーサル	https://cwe.mitre.org/data/definitions/22.html
2	CWE-59	リンク解釈の問題	https://cwe.mitre.org/data/definitions/59.html