Plataforma
java
Componente
io.opentelemetry.javaagent:opentelemetry-javaagent
Corrigido em
2.26.2
2.26.1
CVE-2026-33701 é uma vulnerabilidade de Execução Remota de Código (RCE) que afeta o componente io.opentelemetry.javaagent:opentelemetry-javaagent. A instrumentação RMI registrava um endpoint customizado que desserializava dados sem filtros, permitindo que um atacante com acesso à rede JMX/RMI executasse código remotamente. A vulnerabilidade afeta versões ≤2.9.0 e foi corrigida na versão 2.26.1.
A vulnerabilidade CVE-2026-33701 na instrumentação OpenTelemetry Java afeta versões anteriores à 2.26.1. Especificamente, a instrumentação RMI registra um endpoint personalizado que desserializa dados recebidos sem aplicar filtros de serialização. Isso permite que um atacante com acesso de rede a uma porta JMX ou RMI em uma JVM instrumentada execute potencialmente código remotamente. A gravidade desta vulnerabilidade é classificada como 9.5 na escala CVSS, indicando um risco crítico. A exploração bem-sucedida requer que a instrumentação OpenTelemetry Java seja anexada como um agente Java (-javaagent) e que um endpoint RMI seja acessível pela rede.
Um atacante pode explorar esta vulnerabilidade enviando dados serializados maliciosos através de um endpoint RMI exposto. Se a instrumentação OpenTelemetry Java vulnerável estiver em uso, o endpoint personalizado pode desserializar esses dados sem a validação adequada, o que pode levar à execução de código arbitrário. O sucesso da exploração depende da configuração da rede e da capacidade do atacante de acessar a porta RMI. A instrumentação OpenTelemetry Java é comumente usada para telemetria e rastreamento, tornando os sistemas que dependem dela potencialmente vulneráveis.
Status do Exploit
EPSS
0.40% (percentil 61%)
CISA SSVC
A principal mitigação para CVE-2026-33701 é atualizar a instrumentação OpenTelemetry Java para a versão 2.26.1 ou posterior. Esta versão inclui uma correção que implementa filtros de serialização para evitar a desserialização insegura. Além disso, restrinja o acesso às portas JMX e RMI apenas a fontes autorizadas. Considere implementar políticas de segurança de rede que limitem a exposição dessas portas à rede externa. Monitorar os logs da aplicação em busca de atividades suspeitas relacionadas à desserialização também pode ajudar a detectar e responder a possíveis ataques.
Actualice la biblioteca OpenTelemetry Java Instrumentation a la versión 2.26.1 o posterior. Como alternativa, puede deshabilitar la integración RMI estableciendo la propiedad del sistema `-Dotel.instrumentation.rmi.enabled=false`.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
A desserialização é o processo de converter dados serializados (como um objeto) em um formato utilizável por uma aplicação. Se a desserialização não for realizada de forma segura, pode permitir que os atacantes executem código arbitrário.
Verifique a versão da instrumentação OpenTelemetry Java que você está usando. Se for anterior à 2.26.1, você está potencialmente afetado. Além disso, confirme se você tem um endpoint RMI exposto à rede.
JMX (Java Management Extensions) é uma especificação para gerenciar e monitorar aplicações Java. Frequentemente, é exposto através de uma porta de rede.
Existem ferramentas de varredura de vulnerabilidades que podem detectar a instrumentação OpenTelemetry Java vulnerável. Além disso, a revisão manual do código e da configuração pode ajudar a identificar possíveis problemas.
Isole o sistema afetado, colete evidências forenses e notifique sua equipe de segurança. Atualize a instrumentação OpenTelemetry Java para a versão mais recente o mais rápido possível.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo pom.xml e descubra na hora se você está afetado.