CVE-2026-45679

Nome do Software Vulnerável e Versões Afetadas OpenTelemetry eBPF Instrumentation versões anteriores a 0.9.0

Description O OpenTelemetry eBPF Instrumentation exporta o texto de erro bruto do Redis como a mensagem de status do span. Como as respostas de erro do Redis podem conter valores sensíveis ou dados controlados por um invasor, esse comportamento pode levar à exfiltração de tokens, informações de identificação pessoal (PII) ou outras entradas confidenciais para backends de telemetria. Além disso, permite a injeção de texto não confiável em sistemas de análise downstream. O problema ocorre porque a função getRedisError() remove espaços do buffer de erro bruto e o armazena diretamente em request.DBError.Description, que é posteriormente retornado como a mensagem de status exportada para spans do Redis quando o status do span é diferente de zero, sem qualquer sanitização além da remoção de CRLF.

Recommendations Atualizar para a versão 0.9.0.