Plattform
java
Komponente
com.datadoghq:dd-java-agent
Behoben in
0.40.1
1.60.3
CVE-2026-33728 is a Remote Code Execution (RCE) vulnerability affecting versions of the Datadog Java Agent up to 1.9.0. This flaw arises from insecure deserialization within the RMI instrumentation, allowing attackers to potentially execute arbitrary code on instrumented Java Virtual Machines (JVMs). The vulnerability is mitigated by upgrading to version 1.60.3 or later, and requires specific conditions to be met for exploitation.
Die CVE-2026-33728-Schwachstelle in dd-trace-java, die Versionen vor 1.60.3 betrifft, ermöglicht die Remote Code Execution (RCE) in Java 16 oder älteren Umgebungen. Die RMI-Instrumentierung registriert einen benutzerdefinierten Endpunkt, der eingehende Daten ohne Anwendung von Serialisierungsfiltern deserialisiert. Ein Angreifer mit Netzwerkzugriff auf einen JMX- oder RMI-Port auf einer instrumentierten JVM könnte diese Schwachstelle ausnutzen. Drei Bedingungen müssen erfüllt sein, damit die Ausnutzung erfolgreich ist: dd-trace-java muss als Java-Agent (-javaagent) angehängt sein, die Java-Version muss 16 oder älter sein und der Angreifer muss Netzwerkzugriff auf den anfälligen Port haben. Die Schwere dieser Schwachstelle ist hoch (CVSS 9.5) aufgrund des potenziellen Systemkompromisses.
Die Schwachstelle wird ausgenutzt, indem die unsichere Deserialisierung von Java-Objekten ausgenutzt wird. Ein Angreifer kann ein bösartiges Java-Objekt erstellen, das bei der Deserialisierung willkürlichen Code auf der JVM ausführt. Da dd-trace-java keine Serialisierungsfilter anwendet, kann dieses bösartige Objekt über einen RMI- oder JMX-Port injiziert werden. Die Ausnutzung erfordert ein grundlegendes Verständnis der Java-Deserialisierung und die Fähigkeit, serialisierbare Java-Objekte zu erstellen. Die Komplexität der Ausnutzung ist moderat, da die Erstellung einer bestimmten Nutzlast und der Netzwerkzugriff auf den anfälligen Port erforderlich sind.
Organizations utilizing the Datadog Java Agent in production environments, particularly those running on Java 16 or earlier and exposing JMX/RMI ports, are at significant risk. Shared hosting environments where multiple applications share the same JVM are also vulnerable, as an attacker could potentially compromise one application to gain access to others.
• java / agent:
Get-Process | Where-Object {$_.Path -like '*javaagent*datadog-java-agent*'} | Select-Object ProcessId, Path• java / jmx:
netstat -tulnp | grep ':1099' # Check for JMX port exposure• generic web:
curl -I http://<target_ip>:1099 # Check for JMX endpoint exposuredisclosure
Exploit-Status
EPSS
0.75% (73% Perzentil)
CISA SSVC
Die primäre Abhilfemaßnahme für CVE-2026-33728 ist das Upgrade von dd-trace-java auf Version 1.60.3 oder höher. Diese Version enthält eine Korrektur, die Serialisierungsfilter implementiert, um unsichere Deserialisierung zu verhindern. Wenn ein sofortiges Upgrade nicht möglich ist, sollten Sie den Netzwerkzugriff auf JMX- und RMI-Ports einschränken, um die Angriffsfläche zu verringern. Die aktive Überwachung der Systemprotokolle auf verdächtige Aktivitäten im Zusammenhang mit der Deserialisierung kann ebenfalls dazu beitragen, potenzielle Ausnutzungsversuche zu erkennen und darauf zu reagieren. Stellen Sie außerdem sicher, dass alle Java-Abhängigkeiten auf dem neuesten Stand sind, um andere potenzielle Schwachstellen zu beheben.
Actualice la biblioteca dd-trace-java a la versión 1.60.3 o posterior. Si no puede actualizar, establezca la variable de entorno `DD_INTEGRATION_RMI_ENABLED=false` para deshabilitar la integración RMI. Esta solución alternativa solo es aplicable si no puede actualizar la biblioteca.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Unsichere Deserialisierung tritt auf, wenn ein Programm Daten aus einer nicht vertrauenswürdigen Quelle deserialisiert, ohne die Integrität der Daten zu validieren. Dies kann einem Angreifer ermöglichen, willkürlichen Code auszuführen.
Das Upgrade auf Version 1.60.3 oder höher behebt die CVE-2026-33728-Schwachstelle und verhindert die Remote Code Execution.
Beschränken Sie den Netzwerkzugriff auf JMX- und RMI-Ports und überwachen Sie die Systemprotokolle auf verdächtige Aktivitäten.
Wenn Sie eine Version von dd-trace-java vor 1.60.3 verwenden und Java 16 oder älter ausführen, sind Sie anfällig.
Es gibt Schwachstellen-Scanning-Tools, die das Fehlen von Serialisierungsfiltern in dd-trace-java erkennen können.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine pom.xml-Datei hoch und wir sagen dir sofort, ob du betroffen bist.