CVE-2026-33728 in dd-trace-java信息

摘要

由 VulDB • 2026-05-21

dd-trace-java 是 Datadog 的 Java APM 客户端。在 dd-trace-java 0.40.0 至 1.60.2(不含)版本中,RMI 插桩注册了一个自定义端点,该端点在反序列化传入数据时未应用序列化过滤器。在 JDK 16 及更早版本上,拥有对已插桩 JVM 的 JMX 或 RMI 端口网络访问权限的攻击者可以利用此漏洞,从而可能实现远程代码执行(RCE)。利用此漏洞必须同时满足以下三个条件:首先,dd-trace-java 作为 Java 代理(`-javaagent`)附加在 Java 16 或更早版本上;其次,通过 `-Dcom.sun.management.jmxremote.port` 显式配置了 JMX/RMI 端口,且该端口在网络上是可达的;第三,类路径上存在与 gadget chain 兼容的库。对于 JDK >= 17,无需采取任何行动,但强烈建议升级。对于 JDK >= 8u121 且 < JDK 17 的情况,请升级至 dd-trace-java 1.60.3 或更高版本。对于 JDK < 8u121 及更早版本(其中不可用序列化过滤器),请应用变通方案。该变通方案是设置以下环境变量以禁用 RMI 集成:`DD_INTEGRATION_RMI_ENABLED=false`。

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

来源

Do you want to use VulDB in your project?

Use the official API to access entries easily!