Plateforme
java
Composant
io.opentelemetry.javaagent:opentelemetry-javaagent
Corrigé dans
2.26.2
2.26.1
La vulnérabilité CVE-2026-33701 est une faille d'exécution de code à distance (RCE) affectant l'agent Java OpenTelemetry (io.opentelemetry.javaagent) dans les versions inférieures à 2.26.1. Cette faille est due à un point de terminaison RMI non sécurisé qui désérialise les données entrantes sans appliquer de filtres de sérialisation. Les versions concernées sont celles inférieures ou égales à 2.9.0. Une correction est disponible dans la version 2.26.1.
Un attaquant disposant d'un accès réseau à un port JMX ou RMI sur une JVM instrumentée peut exploiter cette vulnérabilité pour exécuter du code arbitraire. L'exploitation nécessite que l'agent OpenTelemetry Java soit attaché en tant qu'agent Java (-javaagent), qu'un point de terminaison RMI soit accessible sur le réseau et qu'une chaîne de gadgets soit disponible. Cette vulnérabilité permet à un attaquant de compromettre l'ensemble du système, d'installer des logiciels malveillants, de voler des données sensibles ou de prendre le contrôle de la machine. Le potentiel de propagation est élevé, car l'attaquant peut utiliser le système compromis comme point de départ pour attaquer d'autres systèmes sur le réseau.
Cette vulnérabilité a été publiée le 25 mars 2026. Bien qu'aucune preuve d'exploitation active n'ait été rapportée à ce jour, la nature critique de la vulnérabilité et la facilité potentielle d'exploitation la rendent préoccupante. La vulnérabilité est susceptible d'être ajoutée au catalogue KEV (Known Exploited Vulnerabilities) de CISA si une exploitation active est confirmée. La description de la vulnérabilité suggère l'utilisation de chaînes de gadgets, ce qui rappelle des schémas d'exploitation similaires à ceux observés dans des vulnérabilités de désérialisation telles que Log4Shell.
Statut de l'Exploit
EPSS
0.40% (percentile 61%)
CISA SSVC
La mitigation principale consiste à mettre à niveau l'agent Java OpenTelemetry vers la version 2.26.1 ou ultérieure. Si la mise à niveau n'est pas immédiatement possible, il est recommandé de désactiver temporairement les points de terminaison RMI non nécessaires sur la JVM instrumentée. En outre, la configuration d'un pare-feu pour bloquer l'accès réseau aux ports JMX et RMI peut réduire le risque d'exploitation. Il est également possible de mettre en œuvre des règles WAF (Web Application Firewall) pour détecter et bloquer les tentatives d'exploitation de la vulnérabilité. Après la mise à niveau, vérifiez que le point de terminaison RMI a été correctement désactivé ou filtré en effectuant un test de pénétration.
Mettez à jour la bibliothèque OpenTelemetry Java Instrumentation à la version 2.26.1 ou ultérieure. Alternativement, vous pouvez désactiver l'intégration RMI en définissant la propriété système `-Dotel.instrumentation.rmi.enabled=false`.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Deserialization is the process of converting serialized data (like an object) into a usable format for an application. If deserialization is not performed securely, it can allow attackers to execute arbitrary code.
Check the version of OpenTelemetry Java instrumentation you are using. If it is prior to 2.26.1, you are potentially affected. Also, confirm if you have an RMI endpoint exposed to the network.
JMX (Java Management Extensions) is a specification for managing and monitoring Java applications. It is often exposed over a network port.
There are vulnerability scanning tools that can detect the vulnerable OpenTelemetry Java instrumentation. Manual code and configuration review can also help identify potential issues.
Isolate the affected system, collect forensic evidence, and notify your security team. Upgrade the OpenTelemetry Java instrumentation to the latest version as soon as possible.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.