LOW🇬🇧 English

CVE-2026-45287

CVSS 2.1v4.0pub. 2026-06-04upd. 2026-06-18

OpenTelemetry-Go to implementacja OpenTelemetry dla języka Go. W wersjach przed 0.0.17 pakiety `go.opentelemetry.io/otel/schema/v1.0` i `go.opentelemetry.io/otel/schema/v1.1` wyciękają jeden file descriptor przy każdym udanym wywołaniu `ParseFile`. Funkcja `ParseFile` otwiera plik schematu i przekazuje go do `Parse` bez jego zamknięcia; powtarzane parsowanie w długotrwałym procesie może wyczerpać limit file descriptorów procesu i spowodować denial of service. Eksploatacja zależy od tego, czy aplikacja konsumencka ujawnia powtarzane parsowanie schematu dla ścieżki kontrolowanej przez atakującego. Wersja 0.0.17 zawiera poprawkę dla tego problemu.

Pokaż oryginał (EN)

OpenTelemetry-Go is the Go implementation of OpenTelemetry. Prior to version 0.0.17, `go.opentelemetry.io/otel/schema/v1.0` and `go.opentelemetry.io/otel/schema/v1.1` leaks one file descriptor on each successful `ParseFile` call. `ParseFile` opens the schema file and passes it to `Parse` without closing it; repeated parsing in a long-running process can exhaust the process file descriptor limit and cause denial of service. Exploitation depends on a consuming application exposing repeated schema parsing to an attacker-controlled path. Version 0.0.17 contains a patch for the issue.

CVSS Vector
CVSS:4.0/AV:L/AC:L/AT:P/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Opentelemetry Telemetry Schema Files

    APP
    Opentelemetry
    < 0.0.17
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
DoS
CWE
Referencje

Powiązane podatności

CVE-2026-45678HIGH7.5ten sam vendor

OpenTelemetry eBPF Instrumentation provides eBPF instrumentation based on the OpenTelemetry standard. Prior to...

CVE-2026-45685HIGH7.5ten sam vendor

OpenTelemetry eBPF Instrumentation provides eBPF instrumentation based on the OpenTelemetry standard. From ver...

CVE-2026-45686HIGH7.5ten sam vendor

OpenTelemetry eBPF Instrumentation provides eBPF instrumentation based on the OpenTelemetry standard. From ver...

CVE-2026-42602HIGH8.1ten sam vendor

azureauthextension is the Azure Authenticator Extension. From 0.124.0 to 0.150.0, a server-side authentication...

CVE-2026-41433HIGH8.4ten sam vendor

OpenTelemetry eBPF Instrumentation provides eBPF instrumentation based on the OpenTelemetry standard. From 0.4...