製品・ソフトウェアに関する情報
Vulnerability Search
opentelemetryのeBPF Instrumentationにおける複数の脆弱性
Title opentelemetryのeBPF Instrumentationにおける複数の脆弱性
Summary

OpenTelemetry eBPF計測は、OpenTelemetry標準に基づくeBPF計測を提供します。バージョン0.9.0以前では、OBIがスパンステータスメッセージとして生のRedisエラーテキストをエクスポートしていました。Redisのエラー応答には攻撃者が制御可能な値や機密情報が含まれている可能性があるため、この動作によってトークン、個人識別情報(PII)、その他の機密入力がテレメトリバックエンドに漏洩したり、信頼されていないテキストが下流の分析システムに注入される恐れがありました。この問題はバージョン0.9.0で修正されています。

Possible impacts ・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 
Solution

ベンダ情報を参照して適切な対策を実施してください。

Publication Date June 2, 2026, midnight
Registration Date June 5, 2026, 10:51 a.m.
Last Update June 5, 2026, 10:51 a.m.
CVSS3.0 : 警告
Score 6.5
Vector CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
Affected System
opentelemetry
eBPF Instrumentation 0.9.0 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
1 [2026年06月05日]
  掲載		 June 5, 2026, 10:51 a.m.
NVD Vulnerability Information
CVE-2026-45679
Summary

OpenTelemetry eBPF Instrumentation provides eBPF instrumentation based on the OpenTelemetry standard. Prior to version 0.9.0, OBI exports raw Redis error text as the span status message. Because Redis error replies can contain attacker-controlled or sensitive values, this behavior can exfiltrate tokens, PII, or other confidential input into telemetry backends and inject untrusted text into downstream analysis systems. This issue has been patched in version 0.9.0.

Publication Date June 3, 2026, 1:16 a.m.
Registration Date June 3, 2026, 4:18 a.m.
Last Update June 4, 2026, 1:50 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:opentelemetry:ebpf_instrumentation:*:*:*:*:*:go:*:* 0.9.0
Related information, measures and tools
Common Vulnerabilities List