CVE-2026-45685

Nome do Software Vulnerável e Versões Afetadas OpenTelemetry eBPF Instrumentation versões 0.1.0 a 0.8.0

Descrição Mensagens de rede do MongoDB malformadas podem desencadear pânicos não capturados no parser TCP do MongoDB, permitindo que um invasor remoto não autenticado trave o agente de telemetria e cause uma negação de serviço. O parser opera em cargas úteis de rede brutas controladas pelo invasor antes que a entrada seja totalmente validada, portanto, uma única mensagem manipulada pode encerrar a coleta de telemetria para o processo ou nó afetado. Os detalhes técnicos incluem pânicos de limites de slice (slice-bounds panics) nas funções parseOpMessage() e parseSections() ao processar pacotes OP MSG truncados ou seções de sequência de documentos malformadas, bem como um pânico de tempo de execução na função parseFirstField() devido a uma asserção de tipo não verificada em field.Value ao processar documentos BSON malformados.

Recomendações Atualize para a versão 0.9.0 ou posterior. Como medida paliativa temporária, restrinja o agente de telemetria de processar tráfego do MongoDB proveniente de clientes não confiáveis ou parcialmente confiáveis para minimizar o risco de exploração.