प्लेटफ़ॉर्म
java
घटक
io.opentelemetry.javaagent:opentelemetry-javaagent
में ठीक किया गया
2.26.2
2.26.1
CVE-2026-33701 io.opentelemetry.javaagent में पाई गई एक RCE (Remote Code Execution) भेद्यता है। यह भेद्यता RMI के माध्यम से आने वाले डेटा को डिसेरियलाइज़ करके हमलावरों को कोड निष्पादित करने की अनुमति देती है। इससे सिस्टम से समझौता हो सकता है। प्रभावित संस्करण 2.9.0 और उससे पहले के हैं। इस भेद्यता को संस्करण 2.26.1 में ठीक किया गया है।
OpenTelemetry Java instrumentation में CVE-2026-33701, 2.26.1 से पहले के संस्करणों को प्रभावित करता है। विशेष रूप से, RMI instrumentation एक कस्टम एंडपॉइंट पंजीकृत करता है जो क्रमबद्धता फ़िल्टर लागू किए बिना आने वाले डेटा को क्रमबद्ध करता है। यह नेटवर्क एक्सेस के साथ एक JVM पर JMX या RMI पोर्ट पर एक हमलावर को संभावित रूप से रिमोट कोड निष्पादित करने की अनुमति देता है। इस भेद्यता के लिए CVSS स्कोर 9.5 है, जो एक महत्वपूर्ण जोखिम दर्शाता है। सफल शोषण के लिए OpenTelemetry Java instrumentation को Java एजेंट (-javaagent) के रूप में संलग्न किया जाना चाहिए और RMI एंडपॉइंट नेटवर्क पर पहुंच योग्य होना चाहिए।
एक हमलावर इस भेद्यता का शोषण उजागर RMI एंडपॉइंट के माध्यम से दुर्भावनापूर्ण क्रमबद्ध डेटा भेजकर कर सकता है। यदि भेद्य OpenTelemetry Java instrumentation उपयोग में है, तो कस्टम एंडपॉइंट उचित सत्यापन के बिना इस डेटा को क्रमबद्ध कर सकता है, जिससे मनमाना कोड निष्पादित हो सकता है। शोषण की सफलता नेटवर्क कॉन्फ़िगरेशन और हमलावर की RMI पोर्ट तक पहुंचने की क्षमता पर निर्भर करती है। OpenTelemetry Java instrumentation का उपयोग आमतौर पर टेलीमेट्री और ट्रेसिंग के लिए किया जाता है, जिससे उन प्रणालियों पर निर्भरता संभावित रूप से भेद्य हो सकती है।
एक्सप्लॉइट स्थिति
EPSS
0.40% (61% शतमक)
CISA SSVC
CVE-2026-33701 के लिए प्राथमिक शमन OpenTelemetry Java instrumentation को संस्करण 2.26.1 या बाद में अपग्रेड करना है। इस संस्करण में एक फिक्स शामिल है जो असुरक्षित क्रमबद्धता को रोकने के लिए क्रमबद्धता फ़िल्टर लागू करता है। इसके अतिरिक्त, केवल अधिकृत स्रोतों को JMX और RMI पोर्ट तक पहुंच को प्रतिबंधित करें। बाहरी नेटवर्क पर इन पोर्टों के एक्सपोजर को सीमित करने वाली नेटवर्क सुरक्षा नीतियों को लागू करने पर विचार करें। क्रमबद्धता से संबंधित एप्लिकेशन लॉग में संदिग्ध गतिविधि की निगरानी भी संभावित हमलों का पता लगाने और प्रतिक्रिया देने में मदद कर सकती है।
OpenTelemetry Java इंस्ट्रुमेंटेशन लाइब्रेरी को संस्करण 2.26.1 या बाद के संस्करण में अपडेट करें। वैकल्पिक रूप से, आप सिस्टम प्रॉपर्टी `-Dotel.instrumentation.rmi.enabled=false` सेट करके RMI एकीकरण को अक्षम कर सकते हैं।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
क्रमबद्धता डेटा (जैसे एक ऑब्जेक्ट) को एक एप्लिकेशन द्वारा उपयोग के लिए एक प्रारूप में बदलने की प्रक्रिया है। यदि क्रमबद्धता सुरक्षित रूप से नहीं की जाती है, तो यह हमलावरों को मनमाना कोड निष्पादित करने की अनुमति दे सकती है।
OpenTelemetry Java instrumentation के संस्करण की जांच करें जिसका आप उपयोग कर रहे हैं। यदि यह 2.26.1 से पहले का है, तो आप संभावित रूप से प्रभावित हैं। इसके अतिरिक्त, पुष्टि करें कि आपके पास नेटवर्क पर उजागर RMI एंडपॉइंट है या नहीं।
JMX (Java Management Extensions) Java अनुप्रयोगों को प्रबंधित और मॉनिटर करने के लिए एक विनिर्देश है। यह आमतौर पर एक नेटवर्क पोर्ट के माध्यम से उजागर किया जाता है।
ऐसे भेद्यता स्कैनिंग उपकरण हैं जो भेद्य OpenTelemetry Java instrumentation का पता लगा सकते हैं। कोड और कॉन्फ़िगरेशन की मैन्युअल समीक्षा संभावित मुद्दों की पहचान करने में भी मदद कर सकती है।
प्रभावित सिस्टम को अलग करें, फोरेंसिक सबूत इकट्ठा करें और अपनी सुरक्षा टीम को सूचित करें। जल्द से जल्द OpenTelemetry Java instrumentation को नवीनतम संस्करण में अपग्रेड करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी pom.xml फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।