CVE-2026-33701 in opentelemetry-java-instrumentationinformation

Résumé

par VulDB • 13/05/2026

OpenTelemetry Java Instrumentation fournit l'auto-instrumentation OpenTelemetry et des bibliothèques d'instrumentation pour Java. Dans les versions antérieures à la 2.26.1, l'instrumentation RMI enregistrait un point de terminaison personnalisé qui désérialisait les données entrantes sans appliquer de filtres de désérialisation. Sur les versions de JDK 16 et antérieures, un attaquant disposant d'un accès réseau à un port JMX ou RMI sur une JVM instrumentée pourrait exploiter cette vulnérabilité pour potentiellement obtenir une exécution de code à distance (RCE). Les trois conditions suivantes doivent être réunies pour exploiter cette vulnérabilité : Premièrement, l'instrumentation OpenTelemetry pour Java est attachée en tant qu'agent Java (`-javaagent`) sur Java 16 ou une version antérieure. Deuxièmement, le port JMX/RMI a été explicitement configuré via `-Dcom.sun.management.jmxremote.port` et est accessible depuis le réseau. Troisièmement, une bibliothèque compatible avec une chaîne de gadgets (gadget chain) est présente sur le classpath. Cela entraîne une exécution de code arbitraire à distance avec les privilèges de l'utilisateur exécutant la JVM instrumentée. Pour les JDK >= 17, aucune action n'est requise, mais une mise à niveau est fortement recommandée. Pour les JDK < 17, mettez à niveau vers la version 2.26.1 ou une version ultérieure. En tant que solution de contournement, définissez la propriété système `-Dotel.instrumentation.rmi.enabled=false` pour désactiver l'intégration RMI.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

GitHub M

Réserver

23/03/2026

Divulgation

27/03/2026

Modérer

accepté

Entrée

VDB-353793

CPE

prêt

EPSS

0.00933

KEV

non

Activités

très faible

Sources

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!