Plateforme
java
Composant
com.datadoghq:dd-java-agent
Corrigé dans
0.40.1
1.60.3
CVE-2026-33728 est une vulnérabilité d'exécution de code à distance (RCE) affectant les versions de dd-trace-java antérieures à 1.60.3. Elle permet à un attaquant d'exécuter du code arbitraire sur un serveur vulnérable via un port JMX/RMI non protégé. Cette vulnérabilité affecte les versions de dd-java-agent inférieures ou égales à 1.9.0. La version 1.60.3 corrige ce problème.
La vulnérabilité CVE-2026-33728 dans dd-trace-java, affectant les versions antérieures à 1.60.3, permet l'exécution de code à distance (RCE) sur les environnements Java 16 ou versions antérieures. L'instrumentation RMI enregistre un point de terminaison personnalisé qui désérialise les données entrantes sans appliquer de filtres de sérialisation. Un attaquant ayant un accès réseau à un port JMX ou RMI sur une JVM instrumentée pourrait exploiter cette faille. Trois conditions doivent être remplies pour une exploitation réussie : dd-trace-java doit être attaché en tant qu'agent Java (-javaagent), la version de Java doit être 16 ou antérieure, et l'attaquant doit avoir un accès réseau au port vulnérable. La gravité de cette vulnérabilité est élevée (CVSS 9.5) en raison du potentiel de compromission du système.
La vulnérabilité est exploitée en tirant parti de la désérialisation non sécurisée des objets Java. Un attaquant peut créer un objet Java malveillant qui, lors de la désérialisation, exécute du code arbitraire sur la JVM. Étant donné que dd-trace-java n'applique pas de filtres de sérialisation, cet objet malveillant peut être injecté via un port RMI ou JMX. L'exploitation nécessite une connaissance de base de la désérialisation Java et la capacité de créer des objets Java sérialisables. La complexité de l'exploitation est modérée, car elle nécessite la création d'une charge utile spécifique et un accès réseau au port vulnérable.
Organizations utilizing the Datadog Java Agent in production environments, particularly those running on Java 16 or earlier and exposing JMX/RMI ports, are at significant risk. Shared hosting environments where multiple applications share the same JVM are also vulnerable, as an attacker could potentially compromise one application to gain access to others.
• java / agent:
Get-Process | Where-Object {$_.Path -like '*javaagent*datadog-java-agent*'} | Select-Object ProcessId, Path• java / jmx:
netstat -tulnp | grep ':1099' # Check for JMX port exposure• generic web:
curl -I http://<target_ip>:1099 # Check for JMX endpoint exposuredisclosure
Statut de l'Exploit
EPSS
0.75% (percentile 73%)
CISA SSVC
L'atténuation principale pour CVE-2026-33728 consiste à mettre à niveau dd-trace-java vers la version 1.60.3 ou ultérieure. Cette version inclut une correction qui implémente des filtres de sérialisation pour empêcher la désérialisation non sécurisée. Si une mise à niveau immédiate n'est pas possible, envisagez de limiter l'accès réseau aux ports JMX et RMI afin de réduire la surface d'attaque. Surveiller activement les journaux du système à la recherche d'activités suspectes liées à la désérialisation peut également aider à détecter et à répondre aux tentatives d'exploitation potentielles. De plus, assurez-vous que toutes les dépendances Java sont à jour afin d'atténuer d'autres vulnérabilités potentielles.
Actualice la biblioteca dd-trace-java a la versión 1.60.3 o posterior. Si no puede actualizar, establezca la variable de entorno `DD_INTEGRATION_RMI_ENABLED=false` para deshabilitar la integración RMI. Esta solución alternativa solo es aplicable si no puede actualizar la biblioteca.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
La désérialisation non sécurisée se produit lorsqu'un programme désérialise des données provenant d'une source non fiable sans valider l'intégrité des données. Cela peut permettre à un attaquant d'exécuter du code arbitraire.
La mise à niveau vers la version 1.60.3 ou ultérieure corrige la vulnérabilité CVE-2026-33728, empêchant l'exécution de code à distance.
Limitez l'accès réseau aux ports JMX et RMI et surveillez les journaux du système à la recherche d'activités suspectes.
Si vous utilisez une version de dd-trace-java antérieure à 1.60.3 et que vous exécutez Java 16 ou une version antérieure, vous êtes vulnérable.
Il existe des outils d'analyse des vulnérabilités qui peuvent détecter l'absence de filtres de sérialisation dans dd-trace-java.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.