CVE-2026-33728 in dd-trace-javainformazioni

Riassunto

di VulDB • 15/06/2026

dd-trace-java è un client APM di Datadog per Java. Nelle versioni di dd-trace-java da 0.40.0 fino a quelle precedenti alla 1.60.2, l'instrumentazione RMI ha registrato un endpoint personalizzato che deserializzava i dati in arrivo senza applicare filtri di serializzazione. Su JDK versione 16 e precedenti, un attaccante con accesso di rete a una porta JMX o RMI su una JVM instrumentata potrebbe sfruttare questa vulnerabilità per potenzialmente ottenere l'esecuzione remota di codice (RCE). Affinché sia possibile sfruttare questa vulnerabilità, devono essere soddisfatte contemporaneamente tutte e tre le seguenti condizioni: in primo luogo, dd-trace-java deve essere collegato come agente Java (`-javaagent`) su Java 16 o versioni precedenti. In secondo luogo, una porta JMX/RMI deve essere configurata esplicitamente tramite `-Dcom.sun.management.jmxremote.port` ed essere raggiungibile via rete. Terzo, deve essere presente sulla classpath una libreria compatibile con le gadget-chain. Per JDK >= 17 non è necessaria alcuna azione, ma si consiglia vivemente l'aggiornamento. Per JDK >= 8u121 < JDK 17, aggiornare alla versione di dd-trace-java 1.60.3 o successiva. Per JDK < 8u121 e versioni precedenti in cui i filtri di serializzazione non sono disponibili, applicare la soluzione alternativa (workaround). La soluzione alternativa consiste nell'impostare la seguente variabile d'ambiente per disabilitare l'integrazione RMI: `DD_INTEGRATION_RMI_ENABLED=false`.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsabile

GitHub M

Prenotare

23/03/2026

Divulgazione

27/03/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00622

KEV

no

Attività

molto basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!