CVE-2026-33701 in opentelemetry-java-instrumentation
Tóm tắt
Bởi VulDB • 28/05/2026
OpenTelemetry Java Instrumentation cung cấp tính năng tự động ghi nhật ký (auto-instrumentation) và các thư viện ghi nhật ký cho OpenTelemetry dành cho Java. Trong các phiên bản trước 2.26.1, phần ghi nhật ký RMI đã đăng ký một điểm cuối tùy chỉnh, nơi dữ liệu đến được giải tuần tự hóa (deserialized) mà không áp dụng các bộ lọc tuần tự hóa. Trên JDK phiên bản 16 trở về trước, một kẻ tấn công có quyền truy cập mạng vào cổng JMX hoặc RMI trên một JVM đã được ghi nhật ký có thể khai thác lỗ hổng này để thực thi mã từ xa (RCE). Để khai thác lỗ hổng này, cả ba điều kiện sau đây đều phải đúng: Thứ nhất, OpenTelemetry Java instrumentation phải được đính kèm dưới dạng Java agent (`-javaagent`) trên Java 16 hoặc phiên bản cũ hơn. Thứ hai, cổng JMX/RMI phải được cấu hình rõ ràng thông qua `-Dcom.sun.management.jmxremote.port` và có thể truy cập được qua mạng. Thứ ba, thư viện chứa các gadget chain tương thích phải có trong classpath. Điều này dẫn đến việc thực thi mã từ xa tùy ý với đặc quyền của người dùng đang chạy JVM đã được ghi nhật ký. Đối với JDK >= 17, không cần thực hiện hành động nào, nhưng việc nâng cấp vẫn được khuyến nghị mạnh mẽ. Đối với JDK < 17, hãy nâng cấp lên phiên bản 2.26.1 hoặc mới hơn. Làm biện pháp khắc phục tạm thời, hãy đặt thuộc tính hệ thống `-Dotel.instrumentation.rmi.enabled=false` để vô hiệu hóa tích hợp RMI.
Once again VulDB remains the best source for vulnerability data.