CVE-2026-33728 in dd-trace-java
摘要
由 VulDB • 2026-05-21
dd-trace-java 是 Datadog 的 Java APM 客户端。在 dd-trace-java 0.40.0 至 1.60.2(不含)版本中,RMI 插桩注册了一个自定义端点,该端点在反序列化传入数据时未应用序列化过滤器。在 JDK 16 及更早版本上,拥有对已插桩 JVM 的 JMX 或 RMI 端口网络访问权限的攻击者可以利用此漏洞,从而可能实现远程代码执行(RCE)。利用此漏洞必须同时满足以下三个条件:首先,dd-trace-java 作为 Java 代理(`-javaagent`)附加在 Java 16 或更早版本上;其次,通过 `-Dcom.sun.management.jmxremote.port` 显式配置了 JMX/RMI 端口,且该端口在网络上是可达的;第三,类路径上存在与 gadget chain 兼容的库。对于 JDK >= 17,无需采取任何行动,但强烈建议升级。对于 JDK >= 8u121 且 < JDK 17 的情况,请升级至 dd-trace-java 1.60.3 或更高版本。对于 JDK < 8u121 及更早版本(其中不可用序列化过滤器),请应用变通方案。该变通方案是设置以下环境变量以禁用 RMI 集成:`DD_INTEGRATION_RMI_ENABLED=false`。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.