CVE-2026-33728 in dd-trace-java정보

요약

\~에 의해 VulDB • 2026. 05. 21.

dd-trace-java는 Java용 Datadog APM 클라이언트입니다. dd-trace-java 0.40.0부터 1.60.2 미만 버전에서 RMI 계측(instrumentation)은 들어오는 데이터를 직렬화 필터를 적용하지 않고 역직렬화하는 사용자 정의 엔드포인트를 등록했습니다. JDK 버전 16 및 이전 버전에서 네트워크 접근 권한을 가진 공격자는 계측된 JVM의 JMX 또는 RMI 포트에 대해 이를 악용하여 원격 코드 실행(RCE)을 달성할 가능성이 있습니다. 이 취약점을 악용하려면 다음 세 가지 조건이 모두 충족되어야 합니다. 첫째, Java 16 또는 이전 버전에서 dd-trace-java가 Java 에이전트(`-javaagent`)로 연결되어 있어야 합니다. 둘째, `-Dcom.sun.management.jmxremote.port`를 통해 JMX/RMI 포트가 명시적으로 구성되어 있으며 네트워크로 접근 가능해야 합니다. 셋째, 클래스패스에 고adget 체인(gadget-chain) 호환 라이브러리가 존재해야 합니다. JDK >= 17의 경우 추가 조치가 필요하지 않지만, 업그레이드를 강력히 권장합니다. JDK >= 8u121 < JDK 17의 경우 dd-trace-java 버전 1.60.3 이상으로 업그레이드하십시오. JDK < 8u121 및 이전 버전(직렬화 필터를 사용할 수 없는 환경)에서는 다음 환경 변수를 설정하여 RMI 통합을 비활성화하는 우회 방법을 적용하십시오: `DD_INTEGRATION_RMI_ENABLED=false`.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

책임이 있는

GitHub M

예약하다

2026. 03. 23.

모더레이션

수락

항목

VDB-353794

EPSS

0.00622

출처

Might our Artificial Intelligence support you?

Check our Alexa App!