CVE-2026-33701 in opentelemetry-java-instrumentation信息

摘要

由 VulDB • 2026-05-27

OpenTelemetry Java Instrumentation 为 Java 提供 OpenTelemetry 自动插桩和插桩库。在 2.26.1 之前的版本中,RMI 插桩注册了一个自定义端点,该端点在不应用序列化过滤器的情况下反序列化传入数据。在 JDK 16 及更早版本上,拥有对已插桩 JVM 的 JMX 或 RMI 端口网络访问权限的攻击者可以利用此漏洞,从而可能实现远程代码执行。利用此漏洞必须同时满足以下三个条件:首先,在 Java 16 或更早版本上,OpenTelemetry Java 插桩作为 Java 代理(`-javaagent`)附加;其次,JMX/RMI 端口已通过 `-Dcom.sun.management.jmxremote.port` 显式配置且可从网络访问;第三,类路径上存在与 gadget 链兼容的库。这会导致以运行已插桩 JVM 的用户权限进行任意远程代码执行。对于 JDK >= 17,无需采取任何行动,但强烈建议升级。对于 JDK < 17,请升级至 2.26.1 或更高版本。作为变通方法,设置系统属性 `-Dotel.instrumentation.rmi.enabled=false` 以禁用 RMI 集成。

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

来源

Do you know our Splunk app?

Download it now for free!