CVE-2023-47108
Denial of service in go.opentelemetry.io/contrib/instrumentation/google.golang.org/grpc/otelgrpc
7.5
HIGH
CVSS 3.1
EPSS 4.3%
描述
The grpc Unary Server Interceptor created by the otelgrpc package added the labels net.peer.sock.addr and net.peer.sock.port with unbounded cardinality. This can lead to the server's potential memory exhaustion when many malicious requests are sent. This leads to a denial-of-service.
如何修補 CVE-2023-47108
要修補 CVE-2023-47108,請將受影響套件升級到下列已修補版本。
- —升級至 0.46.0 或更新版本
- —升級至 0.46.0 或更新版本
CVE-2023-47108 正在被利用嗎?
低 — EPSS 為 4.3%,目前沒有觀察到大規模利用活動。
受影響套件(2)
- >= 0.37.0, < 0.46.0
- >= 0.37.0, < 0.46.0
CVSS 分數
| 來源 | 版本 | 嚴重程度 | 向量 |
|---|---|---|---|
| osv | CVSS 3.1 | HIGH7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |