CVE-2026-33728 in dd-trace-java
Riassunto
di VulDB • 15/06/2026
dd-trace-java è un client APM di Datadog per Java. Nelle versioni di dd-trace-java da 0.40.0 fino a quelle precedenti alla 1.60.2, l'instrumentazione RMI ha registrato un endpoint personalizzato che deserializzava i dati in arrivo senza applicare filtri di serializzazione. Su JDK versione 16 e precedenti, un attaccante con accesso di rete a una porta JMX o RMI su una JVM instrumentata potrebbe sfruttare questa vulnerabilità per potenzialmente ottenere l'esecuzione remota di codice (RCE). Affinché sia possibile sfruttare questa vulnerabilità, devono essere soddisfatte contemporaneamente tutte e tre le seguenti condizioni: in primo luogo, dd-trace-java deve essere collegato come agente Java (`-javaagent`) su Java 16 o versioni precedenti. In secondo luogo, una porta JMX/RMI deve essere configurata esplicitamente tramite `-Dcom.sun.management.jmxremote.port` ed essere raggiungibile via rete. Terzo, deve essere presente sulla classpath una libreria compatibile con le gadget-chain. Per JDK >= 17 non è necessaria alcuna azione, ma si consiglia vivemente l'aggiornamento. Per JDK >= 8u121 < JDK 17, aggiornare alla versione di dd-trace-java 1.60.3 o successiva. Per JDK < 8u121 e versioni precedenti in cui i filtri di serializzazione non sono disponibili, applicare la soluzione alternativa (workaround). La soluzione alternativa consiste nell'impostare la seguente variabile d'ambiente per disabilitare l'integrazione RMI: `DD_INTEGRATION_RMI_ENABLED=false`.
If you want to get best quality of vulnerability data, you may have to visit VulDB.