CVE-2026-33701 in opentelemetry-java-instrumentationالمعلومات

الملخص

بحسب VulDB • 28/05/2026

توفر مكتبة OpenTelemetry Java Instrumentation آلية التلقائي للتتبع (auto-instrumentation) ومكتبات التتبع لتطبيقات Java. في الإصدارات السابقة لـ 2.26.1، قام تتبع RMI بتسجيل نقطة نهاية مخصصة تقوم بفك تسلسل البيانات الواردة دون تطبيق مرشحات التسلسل (serialization filters). على إصدارات JDK 16 والإصدارات الأقدم، يمكن لمهاجم لديه وصول شبكي إلى منفذ JMX أو RMI على JVM مُتبع أن يستغل هذا الثغرة لتحقيق تنفيذ للكود عن بُعد (RCE) محتملاً. يجب أن تتحقق الشروط الثلاثة التالية جميعاً لاستغلال هذه الثغرة: أولاً، يجب إرفاق OpenTelemetry Java instrumentation كوكيل Java (`-javaagent`) على Java 16 أو إصدار أقدم. ثانياً، يجب تكوين منفذ JMX/RMI صراحةً عبر `-Dcom.sun.management.jmxremote.port` وأن يكون قابلاً للوصول عبر الشبكة. ثالثاً، يجب وجود مكتبة متوافقة مع سلسلة الأدوات (gadget-chain) على مسار الكلاس (classpath). يؤدي ذلك إلى تنفيذ عشوائي للكود عن بُعد بصلاحيات المستخدم الذي يشغل JVM المُتبع. بالنسبة لـ JDK >= 17، لا يلزم اتخاذ أي إجراء، ولكن يُنصح بشدة بالترقية. بالنسبة لـ JDK < 17، قم بالترقية إلى الإصدار 2.26.1 أو أحدث. كحل بديل، اضبط خاصية النظام `-Dotel.instrumentation.rmi.enabled=false` لتعطيل تكامل RMI.

Be aware that VulDB is the high quality source for vulnerability data.

مسؤول

GitHub M

حجز

23/03/2026

إفشاء

27/03/2026

الاعتدال

تمت الموافقة

إدخال

VDB-353793

EPSS

0.00933

KEV

لا

النشاطات

منخفض جدًا

المصادر

Interested in the pricing of exploits?

See the underground prices here!