平台
java
组件
io.opentelemetry.javaagent:opentelemetry-javaagent
修复版本
2.26.2
2.26.1
CVE-2026-33701 描述了 OpenTelemetry Java Agent 中的一个严重漏洞,该漏洞允许攻击者远程执行代码。当 OpenTelemetry Java Agent 作为 Java 代理运行时,攻击者可以通过网络访问 RMI 端口利用此漏洞。受影响的版本为 ≤2.9.0。该问题已在 2.26.1 版本中得到修复,建议用户尽快升级。
OpenTelemetry Java instrumentation 中的 CVE-2026-33701 影响 2.26.1 之前的版本。具体来说,RMI instrumentation 注册了一个自定义端点,在不应用序列化过滤器的情况下反序列化传入数据。这使得网络访问受保护的 JMX 或 RMI 端口上的受保护的 JVM 的攻击者可能实现远程代码执行。此漏洞的 CVSS 分数评为 9.5,表示一个关键风险。成功利用需要 OpenTelemetry Java instrumentation 作为 Java agent (-javaagent) 附加,并且 RMI 端点可通过网络访问。
攻击者可以通过通过暴露的 RMI 端点发送恶意序列化数据来利用此漏洞。如果使用受漏洞影响的 OpenTelemetry Java instrumentation,则自定义端点可能会在没有适当验证的情况下反序列化这些数据,从而导致任意代码执行。利用的成功取决于网络配置和攻击者访问 RMI 端口的能力。OpenTelemetry Java instrumentation 通常用于遥测和跟踪,因此依赖于它的系统可能容易受到攻击。
漏洞利用状态
EPSS
0.40% (61% 百分位)
CISA SSVC
针对 CVE-2026-33701 的主要缓解措施是将 OpenTelemetry Java instrumentation 升级到 2.26.1 或更高版本。此版本包含一个修复,它实现了序列化过滤器以防止不安全的反序列化。此外,将对 JMX 和 RMI 端口的访问限制为授权源。考虑实施网络安全策略,以限制这些端口对外部网络的暴露。监控应用程序日志中与反序列化相关的可疑活动也可以帮助检测和响应潜在攻击。
将 OpenTelemetry Java Instrumentation 库更新到版本 2.26.1 或更高版本。或者,您可以通过设置系统属性 `-Dotel.instrumentation.rmi.enabled=false` 来禁用 RMI 集成。
漏洞分析和关键警报直接发送到您的邮箱。
反序列化是将序列化数据(例如对象)转换为应用程序可使用的格式的过程。如果反序列化没有以安全方式执行,则攻击者可能能够执行任意代码。
检查您使用的 OpenTelemetry Java instrumentation 的版本。如果是 2.26.1 之前的版本,则可能受到影响。此外,请确认您是否有通过网络暴露的 RMI 端点。
JMX (Java Management Extensions) 是用于管理和监控 Java 应用程序的规范。它通常通过网络端口暴露。
有一些漏洞扫描工具可以检测到受漏洞影响的 OpenTelemetry Java instrumentation。手动代码和配置审查也可以帮助识别潜在问题。
隔离受影响的系统,收集取证证据,并通知您的安全团队。尽快将 OpenTelemetry Java instrumentation 升级到最新版本。
上传你的 pom.xml 文件,立即知道是否受影响。