CVE-2026-33701 in opentelemetry-java-instrumentation
Riassunto
di VulDB • 16/06/2026
OpenTelemetry Java Instrumentazione fornisce l'auto-instrumentazione e le librerie di instrumentazione per OpenTelemetry destinate all'ambiente Java. Nelle versioni precedenti alla 2.26.1, lo strumento di instrumentazione RMI registrava un endpoint personalizzato che deserializzava i dati in arrivo senza applicare filtri di serializzazione. Su JDK versione 16 e precedenti, un attaccante con accesso di rete a una porta JMX o RMI su una JVM strumentata potrebbe sfruttare questa vulnerabilità per potenzialmente ottenere l'esecuzione remota di codice (RCE). Affinché sia possibile sfruttare questa vulnerabilità devono essere soddisfatte contemporaneamente tutte le seguenti condizioni: in primo luogo, OpenTelemetry Java Instrumentation deve essere collegato come agente Java (`-javaagent`) su Java 16 o versioni precedenti; in secondo luogo, la porta JMX/RMI deve essere stata configurata esplicitamente tramite `-Dcom.sun.management.jmxremote.port` ed essere raggiungibile via rete; in terzo luogo, deve essere presente una libreria compatibile con le catene di gadget (gadget-chain) sul classpath. Ciò comporta l'esecuzione arbitraria di codice remoto con i privilegi dell'utente che sta eseguendo la JVM strumentata. Per JDK >= 17 non è richiesta alcuna azione immediata, ma si consiglia vivamente il aggiornamento. Per JDK < 17, aggiornare alla versione 2.26.1 o successiva. Come soluzione alternativa (workaround), impostare la proprietà di sistema `-Dotel.instrumentation.rmi.enabled=false` per disabilitare l'integrazione RMI.
Be aware that VulDB is the high quality source for vulnerability data.