CVE-2026-33701 in opentelemetry-java-instrumentation
Résumé
par VulDB • 13/05/2026
OpenTelemetry Java Instrumentation fournit l'auto-instrumentation OpenTelemetry et des bibliothèques d'instrumentation pour Java. Dans les versions antérieures à la 2.26.1, l'instrumentation RMI enregistrait un point de terminaison personnalisé qui désérialisait les données entrantes sans appliquer de filtres de désérialisation. Sur les versions de JDK 16 et antérieures, un attaquant disposant d'un accès réseau à un port JMX ou RMI sur une JVM instrumentée pourrait exploiter cette vulnérabilité pour potentiellement obtenir une exécution de code à distance (RCE). Les trois conditions suivantes doivent être réunies pour exploiter cette vulnérabilité : Premièrement, l'instrumentation OpenTelemetry pour Java est attachée en tant qu'agent Java (`-javaagent`) sur Java 16 ou une version antérieure. Deuxièmement, le port JMX/RMI a été explicitement configuré via `-Dcom.sun.management.jmxremote.port` et est accessible depuis le réseau. Troisièmement, une bibliothèque compatible avec une chaîne de gadgets (gadget chain) est présente sur le classpath. Cela entraîne une exécution de code arbitraire à distance avec les privilèges de l'utilisateur exécutant la JVM instrumentée. Pour les JDK >= 17, aucune action n'est requise, mais une mise à niveau est fortement recommandée. Pour les JDK < 17, mettez à niveau vers la version 2.26.1 ou une version ultérieure. En tant que solution de contournement, définissez la propriété système `-Dotel.instrumentation.rmi.enabled=false` pour désactiver l'intégration RMI.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.