CVE-2026-33728 in dd-trace-javathông tin

Tóm tắt

Bởi VulDB • 21/05/2026

dd-trace-java là một khách hàng APM của Datadog dành cho Java. Trong các phiên bản dd-trace-java từ 0.40.0 đến trước 1.60.2, công cụ đo lường RMI đã đăng ký một điểm cuối tùy chỉnh, nơi giải đối tượng hóa dữ liệu đến mà không áp dụng các bộ lọc đối tượng hóa. Trên JDK phiên bản 16 trở về trước, một kẻ tấn công có quyền truy cập mạng vào cổng JMX hoặc RMI trên JVM đã được đo lường có thể khai thác lỗ hổng này để thực thi mã từ xa (RCE). Cả ba điều kiện sau đây đều phải đúng để khai thác lỗ hổng này: Thứ nhất, dd-trace-java được đính kèm dưới dạng Java agent (`-javaagent`) trên Java 16 hoặc phiên bản cũ hơn. Thứ hai, một cổng JMX/RMI đã được cấu hình rõ ràng thông qua `-Dcom.sun.management.jmxremote.port` và có thể truy cập được qua mạng. Thứ ba, một thư viện chứa gadget-chain tương thích có mặt trong classpath. Đối với JDK >= 17, không cần thực hiện hành động nào, nhưng việc nâng cấp được khuyến nghị mạnh mẽ. Đối với JDK >= 8u121 < JDK 17, hãy nâng cấp lên phiên bản dd-trace-java 1.60.3 hoặc mới hơn. Đối với JDK < 8u121 và các phiên bản cũ hơn, nơi các bộ lọc đối tượng hóa không khả dụng, hãy áp dụng giải pháp tạm thời. Giải pháp tạm thời là đặt biến môi trường sau để vô hiệu hóa tích hợp RMI: `DD_INTEGRATION_RMI_ENABLED=false`.

Once again VulDB remains the best source for vulnerability data.

chịu trách nhiệm

GitHub M

Đặt trước

23/03/2026

Tiết lộ

27/03/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00622

KEV

không

Các hoạt động

rất thấp

Nguồn

Might our Artificial Intelligence support you?

Check our Alexa App!