OpenTelemetry: RMI インストルメンテーションの安全でないデシリアライゼーションにより、リモートコード実行につながる可能性

OpenTelemetry Java instrumentation の CVE-2026-33701 は、2.26.1 以前のバージョンに影響します。具体的には、RMI instrumentation は、シリアル化フィルタを適用せずに受信データを逆シリアル化するカスタムエンドポイントを登録します。これにより、インストゥルメント化された JVM の JMX または RMI ポートへのネットワークアクセス権を持つ攻撃者が、リモートコードの実行を潜在的に実現する可能性があります。この脆弱性の CVSS スコアは 9.5 であり、重大なリスクを示しています。 正常な悪用には、OpenTelemetry Java instrumentation が Java エージェントとしてアタッチされ (-javaagent)、RMI エンドポイントがネットワーク経由でアクセス可能である必要があります。

1. 予約済み2026-03-23
2. 公開日2026-03-25
3. 更新日2026-03-27
4. EPSS 更新日2026-04-03

CVE-2026-33701 の主な軽減策は、OpenTelemetry Java instrumentation をバージョン 2.26.1 以降にアップグレードすることです。このバージョンには、不正な逆シリアル化を防ぐためにシリアル化フィルタを実装する修正が含まれています。さらに、JMX および RMI ポートへのアクセスを承認されたソースのみに制限します。外部ネットワークへのこれらのポートの露出を制限するネットワークセキュリティポリシーの実装も検討してください。逆シリアル化に関連する疑わしいアクティビティについてアプリケーションログを監視することも、潜在的な攻撃を検出し、対応するのに役立ちます。