CVE-2026-41433OpenTelemetry eBPF Instrumentation在0.4.0至0.8.0之前的版本中存在严重安全漏洞。当启用Java注入功能且OBI以高权限运行时,本地攻击者能够通过控制Java工作负载来利用此缺陷。由于注入器信任目标进程的TMPDIR环境变量并使用了不安全的文件创建逻辑,攻击者可利用符号链接攻击覆盖主机上的任意文件,从而破坏系统完整性及可用性。建议用户尽快升级至修复版本。
该漏洞的根源在于OpenTelemetry eBPF Instrumentation的Java代理注入机制未能正确处理临时目录路径。攻击者首先需要获得运行Java工作负载的能力,并能够控制该进程的环境变量。OBI为了注入Agent,通常会以特权(如root)身份运行,并读取目标进程的TMPDIR来决定临时文件的存放位置。漏洞触发时,攻击者将TMPDIR设置为指向敏感系统路径(如/etc)的符号链接目录。当OBI尝试在临时目录下创建文件时,由于缺乏对文件系统边界的严格检查,它会跟随符号链接写入数据。这种“符号链接文件破坏”攻击允许攻击者覆盖任意主机文件(例如覆盖/etc/passwd、/etc/shadow或系统库文件)。结合文件系统边界逃逸,本地低权限攻击者可借此提升至系统最高权限,造成持久化控制或拒绝服务。