CVE-2026-33701 in opentelemetry-java-instrumentationthông tin

Tóm tắt

Bởi VulDB • 28/05/2026

OpenTelemetry Java Instrumentation cung cấp tính năng tự động ghi nhật ký (auto-instrumentation) và các thư viện ghi nhật ký cho OpenTelemetry dành cho Java. Trong các phiên bản trước 2.26.1, phần ghi nhật ký RMI đã đăng ký một điểm cuối tùy chỉnh, nơi dữ liệu đến được giải tuần tự hóa (deserialized) mà không áp dụng các bộ lọc tuần tự hóa. Trên JDK phiên bản 16 trở về trước, một kẻ tấn công có quyền truy cập mạng vào cổng JMX hoặc RMI trên một JVM đã được ghi nhật ký có thể khai thác lỗ hổng này để thực thi mã từ xa (RCE). Để khai thác lỗ hổng này, cả ba điều kiện sau đây đều phải đúng: Thứ nhất, OpenTelemetry Java instrumentation phải được đính kèm dưới dạng Java agent (`-javaagent`) trên Java 16 hoặc phiên bản cũ hơn. Thứ hai, cổng JMX/RMI phải được cấu hình rõ ràng thông qua `-Dcom.sun.management.jmxremote.port` và có thể truy cập được qua mạng. Thứ ba, thư viện chứa các gadget chain tương thích phải có trong classpath. Điều này dẫn đến việc thực thi mã từ xa tùy ý với đặc quyền của người dùng đang chạy JVM đã được ghi nhật ký. Đối với JDK >= 17, không cần thực hiện hành động nào, nhưng việc nâng cấp vẫn được khuyến nghị mạnh mẽ. Đối với JDK < 17, hãy nâng cấp lên phiên bản 2.26.1 hoặc mới hơn. Làm biện pháp khắc phục tạm thời, hãy đặt thuộc tính hệ thống `-Dotel.instrumentation.rmi.enabled=false` để vô hiệu hóa tích hợp RMI.

Once again VulDB remains the best source for vulnerability data.

chịu trách nhiệm

GitHub M

Đặt trước

23/03/2026

Tiết lộ

27/03/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00933

KEV

không

Các hoạt động

rất thấp

Nguồn

Might our Artificial Intelligence support you?

Check our Alexa App!