Plattform
java
Komponente
io.opentelemetry.javaagent:opentelemetry-javaagent
Behoben in
2.26.2
2.26.1
CVE-2026-33701 is a critical remote code execution (RCE) vulnerability. It exists because the RMI instrumentation registered a custom endpoint that deserialized incoming data without applying serialization filters, potentially allowing an attacker with network access to a JMX or RMI port to execute arbitrary code. This affects io.opentelemetry.javaagent:opentelemetry-javaagent versions 2.9.0 and earlier. The vulnerability is fixed in version 2.26.1.
CVE-2026-33701 in der OpenTelemetry Java Instrumentation betrifft Versionen vor 2.26.1. Konkret registriert die RMI-Instrumentation einen benutzerdefinierten Endpunkt, der eingehende Daten ohne Anwendung von Serialisierungsfiltern deserialisiert. Dies ermöglicht einem Angreifer mit Netzwerkzugriff auf einen JMX- oder RMI-Port auf einer instrumentierten JVM, potenziell Remote-Code auszuführen. Die Schwere dieser Schwachstelle wird mit 9.5 auf der CVSS-Skala bewertet, was ein kritisches Risiko anzeigt. Für eine erfolgreiche Ausnutzung muss die OpenTelemetry Java Instrumentation als Java-Agent (-javaagent) angehängt sein und ein RMI-Endpunkt über das Netzwerk erreichbar sein.
Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er bösartige serialisierte Daten über einen exponierten RMI-Endpunkt sendet. Wenn die anfällige OpenTelemetry Java Instrumentation im Einsatz ist, könnte der benutzerdefinierte Endpunkt diese Daten ohne ordnungsgemäße Validierung deserialisieren, was zur Ausführung von beliebigem Code führen könnte. Der Erfolg der Ausnutzung hängt von der Netzwerkkonfiguration und der Fähigkeit des Angreifers ab, auf den RMI-Port zuzugreifen. Die OpenTelemetry Java Instrumentation wird häufig für Telemetrie und Tracing verwendet, was Systeme, die darauf angewiesen sind, potenziell anfällig macht.
Exploit-Status
EPSS
0.40% (61% Perzentil)
CISA SSVC
Die primäre Abschwächung für CVE-2026-33701 ist die Aktualisierung der OpenTelemetry Java Instrumentation auf Version 2.26.1 oder höher. Diese Version enthält eine Korrektur, die Serialisierungsfilter implementiert, um unsichere Deserialisierung zu verhindern. Beschränken Sie außerdem den Zugriff auf JMX- und RMI-Ports auf autorisierte Quellen. Erwägen Sie die Implementierung von Netzwerksicherheitsrichtlinien, die die Exposition dieser Ports gegenüber dem externen Netzwerk einschränken. Die Überwachung von Anwendungslogs auf verdächtige Aktivitäten im Zusammenhang mit der Deserialisierung kann ebenfalls dazu beitragen, potenzielle Angriffe zu erkennen und darauf zu reagieren.
Actualice la biblioteca OpenTelemetry Java Instrumentation a la versión 2.26.1 o posterior. Como alternativa, puede deshabilitar la integración RMI estableciendo la propiedad del sistema `-Dotel.instrumentation.rmi.enabled=false`.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Deserialisierung ist der Prozess der Konvertierung von serialisierten Daten (z. B. eines Objekts) in ein für eine Anwendung verwendbares Format. Wenn die Deserialisierung nicht sicher durchgeführt wird, kann dies Angreifern ermöglichen, beliebigen Code auszuführen.
Überprüfen Sie die Version der OpenTelemetry Java Instrumentation, die Sie verwenden. Wenn sie vor 2.26.1 liegt, sind Sie potenziell betroffen. Überprüfen Sie außerdem, ob Sie einen RMI-Endpunkt haben, der dem Netzwerk ausgesetzt ist.
JMX (Java Management Extensions) ist eine Spezifikation für die Verwaltung und Überwachung von Java-Anwendungen. Es wird oft über einen Netzwerkport exponiert.
Es gibt Tools zur Schwachstellenanalyse, die die anfällige OpenTelemetry Java Instrumentation erkennen können. Eine manuelle Code- und Konfigurationsprüfung kann ebenfalls dazu beitragen, potenzielle Probleme zu identifizieren.
Isolieren Sie das betroffene System, sammeln Sie forensische Beweise und benachrichtigen Sie Ihr Sicherheitsteam. Aktualisieren Sie die OpenTelemetry Java Instrumentation so schnell wie möglich auf die neueste Version.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine pom.xml-Datei hoch und wir sagen dir sofort, ob du betroffen bist.