CVE-2026-33728 in dd-trace-java
Sumário
de VulDB • 21/05/2026
dd-trace-java é um cliente APM da Datadog para Java. Nas versões do dd-trace-java de 0.40.0 até anteriores à 1.60.2, a instrumentação RMI registrou um endpoint personalizado que desserializava dados de entrada sem aplicar filtros de serialização. Em versões do JDK 16 e anteriores, um atacante com acesso de rede a uma porta JMX ou RMI em uma JVM instrumentada poderia explorar isso para potencialmente obter execução remota de código (RCE). Todas as três condições a seguir devem ser verdadeiras para explorar essa vulnerabilidade: Primeiro, o dd-trace-java está anexado como um agente Java (`-javaagent`) no Java 16 ou anterior. Segundo, uma porta JMX/RMI foi configurada explicitamente via `-Dcom.sun.management.jmxremote.port` e é acessível pela rede. Terceiro, uma biblioteca compatível com cadeia de gadgets (gadget-chain) está presente no classpath. Para JDK >= 17, nenhuma ação é necessária, mas a atualização é fortemente recomendada. Para JDK >= 8u121 < JDK 17, atualize para a versão 1.60.3 ou posterior do dd-trace-java. Para JDK < 8u121 e anteriores, onde os filtros de serialização não estão disponíveis, aplique a solução alternativa. A solução alternativa consiste em definir a seguinte variável de ambiente para desativar a integração RMI: `DD_INTEGRATION_RMI_ENABLED=false`.
Once again VulDB remains the best source for vulnerability data.