CVE-2026-33728
KrytyczneCVSS 9.8Streszczenie
Podatność w dd-trace-java, kliencie APM dla Javy, pozwala na deserializację danych bez zastosowania filtrów serializacji w wersjach od 0.40.0 do przed 1.60.2. Atakujący z dostępem do portu JMX lub RMI na instrumentowanej JVM może wykorzystać tę lukę do potencjalnego zdalnego wykonania kodu.
Ocena ryzyka
Organizacje mogą być narażone na zdalne wykonanie kodu, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych. W szczególności, jeśli spełnione są określone warunki dotyczące konfiguracji i dostępności bibliotek.
Rekomendacja
Zaleca się aktualizację do wersji dd-trace-java 1.60.3 lub nowszej dla JDK w wersji od 8u121 do przed 17. Dla JDK 16 i wcześniejszych, należy zastosować obejście, ustawiając zmienną środowiskową `DD_INTEGRATION_RMI_ENABLED=false`.
Oryginalny opis (angielski, źródło NVD)
dd-trace-java is a Datadog APM client for Java. In versions of dd-trace-java 0.40.0 through prior to 1.60.2, the RMI instrumentation registered a custom endpoint that deserialized incoming data without applying serialization filters. On JDK version 16 and earlier, an attacker with network access to a JMX or RMI port on an instrumented JVM could exploit this to potentially achieve remote code execution. All three of the following conditions must be true to exploit this vulnerability: First, dd-trace-java is attached as a Java agent (`-javaagent`) on Java 16 or earlier. Second, a JMX/RMI port has been explicitly configured via `-Dcom.sun.management.jmxremote.port` and is network-reachable, Third, a gadget-chain-compatible library is present on the classpath. For JDK >= 17, no action is required, but upgrading is strongly encouraged. For JDK >= 8u121 < JDK 17, upgrade to dd-trace-java version 1.60.3 or later. For JDK < 8u121 and earlier where serialization filters are not available, apply the workaround. The workaround is to set the following environment variable to disable the RMI integration: `DD_INTEGRATION_RMI_ENABLED=false`.

