Platform
java
Component
com.datadoghq:dd-java-agent
Opgelost in
0.40.1
1.60.3
CVE-2026-33728 is een kritieke Remote Code Execution (RCE) kwetsbaarheid in de dd-java-agent. Een aanvaller met netwerktoegang tot een JMX- of RMI-poort op een geïnstrumenteerde JVM kan dit misbruiken om mogelijk code op afstand uit te voeren. Deze kwetsbaarheid treft versies ≤1.9.0 van com.datadoghq:dd-java-agent, indien draaiend op Java 16 of eerder en een JMX/RMI poort expliciet is geconfigureerd. De kwetsbaarheid is verholpen in versie 1.60.3.
CVE-2026-33728 in dd-trace-java, die versies vó 1.60.3 treft, maakt Remote Code Execution (RCE) mogelijk in Java 16 of oudere omgevingen. De RMI-instrumentatie registreert een aangepast eindpunt dat inkomende gegevens deserialiseert zonder serialisatiefilters toe te passen. Een aanvaller met netwerktoegang tot een JMX- of RMI-poort op een geïnstrumenteerde JVM kan deze fout uitbuiten. Drie voorwaarden moeten worden vervuld om succesvolle exploitatie mogelijk te maken: dd-trace-java moet worden gekoppeld als een Java-agent (-javaagent), de Java-versie moet 16 of ouder zijn en de aanvaller moet netwerktoegang hebben tot de kwetsbare poort. De ernst van deze kwetsbaarheid is hoog (CVSS 9.5) vanwege het potentieel voor systeemcompromis.
De kwetsbaarheid wordt uitgebuit door misbruik te maken van onveilige deserialisatie van Java-objecten. Een aanvaller kan een kwaadaardig Java-object maken dat, bij deserialisatie, willekeurige code op de JVM uitvoert. Omdat dd-trace-java geen serialisatiefilters toepast, kan dit kwaadaardige object worden geïnjecteerd via een RMI- of JMX-poort. Exploitatie vereist een basisbegrip van Java-deserialisatie en het vermogen om serialiseerbare Java-objecten te maken. De complexiteit van exploitatie is matig, omdat het maken van een specifieke payload en netwerktoegang tot de kwetsbare poort vereist.
Organizations utilizing the Datadog Java Agent in production environments, particularly those running on Java 16 or earlier and exposing JMX/RMI ports, are at significant risk. Shared hosting environments where multiple applications share the same JVM are also vulnerable, as an attacker could potentially compromise one application to gain access to others.
• java / agent:
Get-Process | Where-Object {$_.Path -like '*javaagent*datadog-java-agent*'} | Select-Object ProcessId, Path• java / jmx:
netstat -tulnp | grep ':1099' # Check for JMX port exposure• generic web:
curl -I http://<target_ip>:1099 # Check for JMX endpoint exposuredisclosure
Exploit Status
EPSS
0.75% (73% percentiel)
CISA SSVC
De belangrijkste mitigatie voor CVE-2026-33728 is het upgraden van dd-trace-java naar versie 1.60.3 of hoger. Deze versie bevat een correctie die serialisatiefilters implementeert om onveilige deserialisatie te voorkomen. Als een onmiddellijke upgrade niet mogelijk is, overweeg dan om de netwerktoegang tot JMX- en RMI-poorten te beperken om het aanvalsoppervlak te verkleinen. Actief monitoren van systeemlogboeken op verdachte activiteiten in verband met deserialisatie kan ook helpen bij het detecteren en reageren op potentiële exploitatiepogingen. Zorg er bovendien voor dat alle Java-afhankelijkheden up-to-date zijn om andere potentiële kwetsbaarheden te verhelpen.
Actualice la biblioteca dd-trace-java a la versión 1.60.3 o posterior. Si no puede actualizar, establezca la variable de entorno `DD_INTEGRATION_RMI_ENABLED=false` para deshabilitar la integración RMI. Esta solución alternativa solo es aplicable si no puede actualizar la biblioteca.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-33728 is a critical Remote Code Execution vulnerability in Datadog Java Agent versions up to 1.9.0, allowing attackers to execute code on instrumented JVMs via insecure deserialization.
You are affected if you are using Datadog Java Agent versions 1.9.0 or earlier and are running on Java 16 or earlier with JMX/RMI ports exposed.
Upgrade to Datadog Java Agent version 1.60.3 or later. As a temporary workaround, disable JMX/RMI access by removing the -Dcom.sun.management.jmxremote.port argument.
While no public exploits are currently known, the vulnerability's severity and ease of exploitation suggest active exploitation is possible.
Refer to the official Datadog security advisory for CVE-2026-33728 on the Datadog website (link to advisory would be here if available).
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.