CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-33728

CriticalCVSS 9.8
Published: Updated: Translated: NVD NIST

Summary

Podatność w dd-trace-java, kliencie APM dla Javy, pozwala na deserializację danych bez zastosowania filtrów serializacji w wersjach od 0.40.0 do przed 1.60.2. Atakujący z dostępem do portu JMX lub RMI na instrumentowanej JVM może wykorzystać tę lukę do potencjalnego zdalnego wykonania kodu.

Risk Assessment

Organizacje mogą być narażone na zdalne wykonanie kodu, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych. W szczególności, jeśli spełnione są określone warunki dotyczące konfiguracji i dostępności bibliotek.

Recommendation

Zaleca się aktualizację do wersji dd-trace-java 1.60.3 lub nowszej dla JDK w wersji od 8u121 do przed 17. Dla JDK 16 i wcześniejszych, należy zastosować obejście, ustawiając zmienną środowiskową `DD_INTEGRATION_RMI_ENABLED=false`.

Original NVD description (English source)

dd-trace-java is a Datadog APM client for Java. In versions of dd-trace-java 0.40.0 through prior to 1.60.2, the RMI instrumentation registered a custom endpoint that deserialized incoming data without applying serialization filters. On JDK version 16 and earlier, an attacker with network access to a JMX or RMI port on an instrumented JVM could exploit this to potentially achieve remote code execution. All three of the following conditions must be true to exploit this vulnerability: First, dd-trace-java is attached as a Java agent (`-javaagent`) on Java 16 or earlier. Second, a JMX/RMI port has been explicitly configured via `-Dcom.sun.management.jmxremote.port` and is network-reachable, Third, a gadget-chain-compatible library is present on the classpath. For JDK >= 17, no action is required, but upgrading is strongly encouraged. For JDK >= 8u121 < JDK 17, upgrade to dd-trace-java version 1.60.3 or later. For JDK < 8u121 and earlier where serialization filters are not available, apply the workaround. The workaround is to set the following environment variable to disable the RMI integration: `DD_INTEGRATION_RMI_ENABLED=false`.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS