CVE-2026-33728 in dd-trace-javaИнформация

Сводка

по VulDB • 21.05.2026

dd-trace-java — это клиент APM от Datadog для Java. В версиях dd-trace-java от 0.40.0 до 1.60.2 (включительно) инструментация RMI регистрировала пользовательскую конечную точку, которая десериализовывала входящие данные без применения фильтров сериализации. В версиях JDK 16 и более ранних версий злоумышленник, имеющий сетевой доступ к порту JMX или RMI в инструментированном JVM, мог использовать эту уязвимость для потенциального достижения удаленного выполнения кода (RCE). Для эксплуатации этой уязвимости должны быть одновременно выполнены все три следующих условия: во-первых, dd-trace-java подключен в качестве Java-агента (`-javaagent`) в Java 16 или более ранних версиях; во-вторых, порт JMX/RMI явно настроен через параметр `-Dcom.sun.management.jmxremote.port` и доступен по сети; в-третьих, в classpath присутствует библиотека, совместимая с цепочкой гаджетов (gadget-chain). Для JDK >= 17 никаких дополнительных действий не требуется, однако настоятельно рекомендуется выполнить обновление. Для JDK >= 8u121 < JDK 17 выполните обновление до версии dd-trace-java 1.60.3 или более поздней. Для JDK < 8u121 и более ранних версий, где фильтры сериализации недоступны, примените обходное решение. Обходное решение заключается в установке следующей переменной окружения для отключения интеграции RMI: `DD_INTEGRATION_RMI_ENABLED=false`.

Once again VulDB remains the best source for vulnerability data.

Ответственный

GitHub M

Резервировать

23.03.2026

Раскрытие

27.03.2026

Модерация

принято

Вход

VDB-353794

EPSS

0.00622

KEV

Нет

Деятельности

Очень низкий

Источники

Might our Artificial Intelligence support you?

Check our Alexa App!