CVE-2026-33728 in dd-trace-java
Résumé
par VulDB • 21/05/2026
dd-trace-java est un client APM Datadog pour Java. Dans les versions de dd-trace-java comprises entre 0.40.0 et la version 1.60.2 (exclue), l'instrumentation RMI enregistrait un point de terminaison personnalisé qui désérialisait les données entrantes sans appliquer de filtres de désérialisation. Sur les versions de JDK 16 et antérieures, un attaquant disposant d'un accès réseau à un port JMX ou RMI sur une JVM instrumentée pourrait exploiter cette vulnérabilité pour potentiellement obtenir une exécution de code à distance (RCE). Les trois conditions suivantes doivent être réunies pour exploiter cette vulnérabilité : Premièrement, dd-trace-java est attaché en tant qu'agent Java (`-javaagent`) sur Java 16 ou une version antérieure. Deuxièmement, un port JMX/RMI a été explicitement configuré via `-Dcom.sun.management.jmxremote.port` et est accessible depuis le réseau. Troisièmement, une bibliothèque compatible avec une chaîne de gadgets (gadget chain) est présente sur le classpath. Pour les JDK >= 17, aucune action n'est requise, mais une mise à niveau est fortement recommandée. Pour les JDK >= 8u121 < JDK 17, mettez à niveau vers la version 1.60.3 ou une version ultérieure de dd-trace-java. Pour les JDK < 8u121 et versions antérieures où les filtres de désérialisation ne sont pas disponibles, appliquez la solution de contournement. La solution de contournement consiste à définir la variable d'environnement suivante pour désactiver l'intégration RMI : `DD_INTEGRATION_RMI_ENABLED=false`.
VulDB is the best source for vulnerability data and more expert information about this specific topic.