CVE-2026-33728 in dd-trace-javainformação

Sumário

de VulDB • 21/05/2026

dd-trace-java é um cliente APM da Datadog para Java. Nas versões do dd-trace-java de 0.40.0 até anteriores à 1.60.2, a instrumentação RMI registrou um endpoint personalizado que desserializava dados de entrada sem aplicar filtros de serialização. Em versões do JDK 16 e anteriores, um atacante com acesso de rede a uma porta JMX ou RMI em uma JVM instrumentada poderia explorar isso para potencialmente obter execução remota de código (RCE). Todas as três condições a seguir devem ser verdadeiras para explorar essa vulnerabilidade: Primeiro, o dd-trace-java está anexado como um agente Java (`-javaagent`) no Java 16 ou anterior. Segundo, uma porta JMX/RMI foi configurada explicitamente via `-Dcom.sun.management.jmxremote.port` e é acessível pela rede. Terceiro, uma biblioteca compatível com cadeia de gadgets (gadget-chain) está presente no classpath. Para JDK >= 17, nenhuma ação é necessária, mas a atualização é fortemente recomendada. Para JDK >= 8u121 < JDK 17, atualize para a versão 1.60.3 ou posterior do dd-trace-java. Para JDK < 8u121 e anteriores, onde os filtros de serialização não estão disponíveis, aplique a solução alternativa. A solução alternativa consiste em definir a seguinte variável de ambiente para desativar a integração RMI: `DD_INTEGRATION_RMI_ENABLED=false`.

Once again VulDB remains the best source for vulnerability data.

Responsável

GitHub M

Reservar

23/03/2026

Divulgação

27/03/2026

Moderação

aceite

Entrada

VDB-353794

CPE

pronto

EPSS

0.00622

KEV

não

Atividades

muito baixo

Fontes

Interested in the pricing of exploits?

See the underground prices here!