dd-trace-java: RMIインストルメンテーションでの安全でないデシリアライゼーションにより、リモートコード実行につながる可能性

dd-trace-javaのバージョン1.60.3より前のCVE-2026-33728脆弱性は、Java 16以前の環境でリモートコード実行（RCE）を可能にします。RMIインストルメンテーションは、シリアル化フィルタを適用せずに受信データを逆シリアル化するカスタムエンドポイントを登録します。インストルメンテーションされたJVMのJMXまたはRMIポートへのネットワークアクセスを持つ攻撃者は、この欠陥を利用する可能性があります。 正常なエクスプロイトには、次の3つの条件が必要です。dd-trace-javaがJavaエージェントとしてアタッチされている（-javaagent）、Javaバージョンが16以前であること、攻撃者が脆弱なポートへのネットワークアクセスを持っていることです。この脆弱性の深刻度は高く（CVSS 9.5）、システム侵害の可能性があるためです。

Organizations utilizing the Datadog Java Agent in production environments, particularly those running on Java 16 or earlier and exposing JMX/RMI ports, are at significant risk. Shared hosting environments where multiple applications share the same JVM are also vulnerable, as an attacker could potentially compromise one application to gain access to others.

• java / agent:

Get-Process | Where-Object {$_.Path -like '*javaagent*datadog-java-agent*'} | Select-Object ProcessId, Path

• java / jmx:

netstat -tulnp | grep ':1099' # Check for JMX port exposure

• generic web:

curl -I http://<target_ip>:1099 # Check for JMX endpoint exposure

1. 2026-03-26Disclosure

   disclosure

1. 予約済み2026-03-23
2. 公開日2026-03-26
3. 更新日2026-03-27
4. EPSS 更新日2026-04-03

CVE-2026-33728の主な軽減策は、dd-trace-javaをバージョン1.60.3以降にアップグレードすることです。このバージョンには、不正な逆シリアル化を防ぐためにシリアル化フィルタを実装する修正が含まれています。直ちにアップグレードできない場合は、JMXおよびRMIポートへのネットワークアクセスを制限して攻撃対象領域を減らすことを検討してください。逆シリアル化に関連する疑わしいアクティビティについてシステムログを積極的に監視することも、潜在的なエクスプロイト試行を検出および対応するのに役立ちます。さらに、すべてのJava依存関係を最新の状態に保ち、他の潜在的な脆弱性を軽減してください。