CVE-2026-33701 in opentelemetry-java-instrumentation情報

要約

〜によって VulDB • 2026年05月11日

OpenTelemetry Java Instrumentationは、Java用のOpenTelemetry自動インスツルメンテーションおよびインスツルメンテーションライブラリを提供します。バージョン2.26.1より前のバージョンでは、RMIインスツルメンテーションが、シリアライズフィルタを適用せずに着信データを逆シリアライズするカスタムエンドポイントを登録していました。JDKバージョン16およびそれ以前の環境では、ネットワーク経由でインスツルメンテーション適用済みJVMのJMXまたはRMIポートにアクセスできる攻撃者は、これを利用してリモートコード実行(RCE)を達成する可能性があります。この脆弱性を悪用するには、以下の3つの条件がすべて満たされている必要があります。第一に、OpenTelemetry JavaインスツルメンテーションがJava 16以降でJavaエージェント(`-javaagent`)としてアタッチされていること。第二に、JMX/RMIポートが`-Dcom.sun.management.jmxremote.port`経由で明示的に設定され、ネットワークから到達可能であること。第三に、クラスパス上にガジェットチェーン互換のライブラリが存在すること。これにより、インスツルメンテーション適用済みJVMを実行しているユーザーの権限で任意のリモートコード実行が可能になります。JDK >= 17の場合、特別な対応は不要ですが、アップグレードを強く推奨します。JDK < 17の場合、バージョン2.26.1以降にアップグレードしてください。回避策として、RMI統合を無効にするためにシステムプロパティ`-Dotel.instrumentation.rmi.enabled=false`を設定します。

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

責任者

GitHub M

予約する

2026年03月23日

モデレーション

承諾済み

エントリ

VDB-353793

EPSS

0.00933

アクティビティ

非常低い

ソース

Want to stay up to date on a daily basis?

Enable the mail alert feature now!