CVE-2026-33701 in opentelemetry-java-instrumentation
Sumário
de VulDB • 13/05/2026
A instrumentação OpenTelemetry para Java fornece autoinstrumentação e bibliotecas de instrumentação do OpenTelemetry para Java. Nas versões anteriores à 2.26.1, a instrumentação RMI registrava um endpoint personalizado que desserializava dados de entrada sem aplicar filtros de serialização. Em versões do JDK 16 e anteriores, um atacante com acesso de rede a uma porta JMX ou RMI em uma JVM instrumentada poderia explorar essa falha para potencialmente obter execução remota de código (RCE). Todas as três condições a seguir devem ser verdadeiras para explorar essa vulnerabilidade: Primeiro, a instrumentação OpenTelemetry para Java está anexada como um agente Java (`-javaagent`) no Java 16 ou anterior. Segundo, a porta JMX/RMI foi configurada explicitamente via `-Dcom.sun.management.jmxremote.port` e é acessível pela rede. Terceiro, uma biblioteca compatível com cadeia de gadgets (gadget-chain) está presente no classpath. Isso resulta em execução arbitrária de código remoto com os privilégios do usuário que está executando a JVM instrumentada. Para JDK >= 17, nenhuma ação é necessária, mas a atualização é fortemente recomendada. Para JDK < 17, atualize para a versão 2.26.1 ou posterior. Como solução alternativa, defina a propriedade do sistema `-Dotel.instrumentation.rmi.enabled=false` para desativar a integração RMI.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.