Plataforma
java
Componente
com.datadoghq:dd-java-agent
Corrigido em
0.40.1
1.60.3
CVE-2026-33728 descreve uma vulnerabilidade de Execução Remota de Código (RCE) na biblioteca com.datadoghq:dd-java-agent. A instrumentação RMI registrava um endpoint customizado que deserializava dados sem filtros, permitindo que um atacante com acesso à rede JMX/RMI executasse código remotamente em JVMs instrumentadas. A vulnerabilidade afeta versões ≤1.9.0 do dd-java-agent. A versão 1.60.3 corrige esta falha.
A vulnerabilidade CVE-2026-33728 em dd-trace-java, afetando versões anteriores a 1.60.3, permite a execução remota de código (RCE) em ambientes Java 16 ou versões anteriores. A instrumentação RMI registra um endpoint personalizado que desserializa dados recebidos sem aplicar filtros de serialização. Um atacante com acesso de rede a uma porta JMX ou RMI em uma JVM instrumentada pode explorar esta falha. Três condições devem ser atendidas para uma exploração bem-sucedida: dd-trace-java deve estar anexado como um agente Java (-javaagent), a versão do Java deve ser 16 ou anterior e o atacante deve ter acesso de rede à porta vulnerável. A gravidade desta vulnerabilidade é alta (CVSS 9.5) devido ao potencial de comprometimento do sistema.
A vulnerabilidade é explorada aproveitando a desserialização insegura de objetos Java. Um atacante pode criar um objeto Java malicioso que, ao ser desserializado, execute código arbitrário na JVM. Como o dd-trace-java não aplica filtros de serialização, este objeto malicioso pode ser injetado através de uma porta RMI ou JMX. A exploração requer um conhecimento básico de desserialização Java e a capacidade de criar objetos Java serializáveis. A complexidade da exploração é moderada, pois requer a criação de um payload específico e acesso de rede à porta vulnerável.
Organizations utilizing the Datadog Java Agent in production environments, particularly those running on Java 16 or earlier and exposing JMX/RMI ports, are at significant risk. Shared hosting environments where multiple applications share the same JVM are also vulnerable, as an attacker could potentially compromise one application to gain access to others.
• java / agent:
Get-Process | Where-Object {$_.Path -like '*javaagent*datadog-java-agent*'} | Select-Object ProcessId, Path• java / jmx:
netstat -tulnp | grep ':1099' # Check for JMX port exposure• generic web:
curl -I http://<target_ip>:1099 # Check for JMX endpoint exposuredisclosure
Status do Exploit
EPSS
0.75% (percentil 73%)
CISA SSVC
A principal mitigação para CVE-2026-33728 é atualizar o dd-trace-java para a versão 1.60.3 ou superior. Esta versão inclui uma correção que implementa filtros de serialização para evitar a desserialização insegura. Se uma atualização imediata não for possível, considere limitar o acesso de rede às portas JMX e RMI para reduzir a superfície de ataque. Monitorar ativamente os logs do sistema em busca de atividades suspeitas relacionadas à desserialização também pode ajudar a detectar e responder a tentativas de exploração potenciais. Além disso, certifique-se de que todas as dependências do Java estejam atualizadas para mitigar outras vulnerabilidades potenciais.
Actualice la biblioteca dd-trace-java a la versión 1.60.3 o posterior. Si no puede actualizar, establezca la variable de entorno `DD_INTEGRATION_RMI_ENABLED=false` para deshabilitar la integración RMI. Esta solución alternativa solo es aplicable si no puede actualizar la biblioteca.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
A desserialização insegura ocorre quando um programa desserializa dados de uma fonte não confiável sem validar a integridade dos dados. Isso pode permitir que um atacante execute código arbitrário.
Atualizar para a versão 1.60.3 ou superior corrige a vulnerabilidade CVE-2026-33728, evitando a execução remota de código.
Limite o acesso de rede às portas JMX e RMI e monitore os logs do sistema em busca de atividades suspeitas.
Se você estiver usando uma versão do dd-trace-java anterior à 1.60.3 e estiver executando Java 16 ou anterior, você é vulnerável.
Existem ferramentas de verificação de vulnerabilidades que podem detectar a falta de filtros de serialização no dd-trace-java.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo pom.xml e descubra na hora se você está afetado.