CVE-2026-45678

Nome do Software Vulnerável e Versões Afetadas OpenTelemetry eBPF Instrumentation versões anteriores a 0.9.0

Description O analisador de protocolo Postgres assume incorretamente que as cargas úteis (payloads) de mensagens BIND contêm um nome de portal terminado em NUL válido. Ao processar uma carga útil vazia ou não terminada, o sistema pode realizar um fatiamento (slice) além do final do buffer capturado, levando a um pânico de tempo de execução (runtime panic). Isso ocorre na lógica do caso BIND, onde o sistema calcula portalLen e fatia msg.data sem verificar se o buffer contém um terminador NUL ou bytes suficientes. Isso pode resultar em um problema de disponibilidade remota, onde um invasor que envie tráfego Postgres malformado para um serviço monitorado trava o agente, interrompendo a coleta de telemetria.

Recommendations Atualize para a versão 0.9.0.