CVE-2026-45684

Nome do Software Vulnerável e Versões Afetadas OpenTelemetry eBPF Instrumentation versões 0.7.0 até 0.8.x

Description O enriquecedor de logs manipula incorretamente buffers writev ao ler apenas a primeira entrada iovec, mas utilizar o iov iter.count total como o comprimento de cópia. Quando a injeção de log está habilitada, uma chamada writev de múltiplos segmentos manipulada pode fazer com que o software leia e sobrescreva a memória além do primeiro segmento. Isso ocorre porque a função fill iov() resolve apenas um struct iovec, mas a função write() utiliza a contagem total de bytes de todos os segmentos. Esta falha de segurança de memória pode levar à corrupção de buffers de aplicativos adjacentes, vazamento de memória em eventos de log ou instabilidade do processo.

Recommendations Atualize para a versão 0.9.0. Como medida paliativa temporária, desabilite o recurso de injeção de log para minimizar o risco de exploração.