CRITICALCVE-2026-33728CVSS 9.5

CVE-2026-33728 Datadog Java Agent RCE 漏洞，已修复

Q: CVE-2026-33728 是什么 — com.datadoghq:dd-java-agent 中的 Remote Code Execution (RCE)？

非安全反序列化发生在程序从不可信来源反序列化数据，而没有验证数据的完整性时。这可能允许攻击者执行任意代码。

Q: com.datadoghq:dd-java-agent 中的 CVE-2026-33728 是否会影响我？

升级到 1.60.3 或更高版本将修复 CVE-2026-33728 漏洞，并防止远程代码执行。

Q: 如何修复 com.datadoghq:dd-java-agent 中的 CVE-2026-33728？

限制对 JMX 和 RMI 端口的网络访问，并监控系统日志中是否存在可疑活动。

Q: CVE-2026-33728 是否正在被积极利用？

如果您使用的是 dd-trace-java 的 1.60.3 之前的版本，并且正在运行 Java 16 或更早版本，则您容易受到攻击。

Q: 在哪里可以找到 com.datadoghq:dd-java-agent 关于 CVE-2026-33728 的官方安全通告？

漏洞扫描工具可以检测 dd-trace-java 中缺少序列化过滤器的情况。

平台

java

组件

com.datadoghq:dd-java-agent

修复版本

0.40.1

1.60.3

AI Confidence: highNVDEPSS 0.8%已审阅: 2026年3月

在NVD查看

保存

CVE-2026-33728 描述了 Datadog Java Agent 中的一个严重漏洞，该漏洞允许攻击者远程执行代码。当 Datadog Java Agent 作为 Java 代理运行时，攻击者可以通过网络访问 JMX 或 RMI 端口利用此漏洞。受影响的版本为 ≤1.9.0。该问题已在 1.60.3 版本中得到修复，建议用户尽快升级。

影响与攻击场景

dd-trace-java 在 1.60.3 版本之前的 CVE-2026-33728 漏洞，允许在 Java 16 或更早的环境中实现远程代码执行 (RCE)。RMI Instrumentation 注册了一个自定义端点，在不应用序列化过滤器的情况下反序列化传入数据。具有网络访问权限的攻击者，可以访问已 Instrumentation 的 JVM 上的 JMX 或 RMI 端口，可以利用此漏洞。为了成功利用，必须满足以下三个条件：dd-trace-java 必须作为 Java agent (-javaagent) 附加，Java 版本必须为 16 或更早，并且攻击者必须对易受攻击的端口具有网络访问权限。由于存在系统被破坏的潜在风险，因此此漏洞的严重程度很高 (CVSS 9.5)。

利用背景

此漏洞是通过利用 Java 对象的非安全反序列化来利用的。攻击者可以创建恶意 Java 对象，该对象在反序列化时会在 JVM 上执行任意代码。由于 dd-trace-java 不应用序列化过滤器，因此可以将此恶意对象通过 RMI 或 JMX 端口注入。利用需要对 Java 反序列化有基本的了解以及创建可序列化的 Java 对象的技能。利用的复杂性是中等，因为它需要创建特定的有效负载以及对易受攻击的端口的网络访问。

哪些人处于风险中翻译中…

Organizations utilizing the Datadog Java Agent in production environments, particularly those running on Java 16 or earlier and exposing JMX/RMI ports, are at significant risk. Shared hosting environments where multiple applications share the same JVM are also vulnerable, as an attacker could potentially compromise one application to gain access to others.

检测步骤翻译中…

• java / agent:

Get-Process | Where-Object {$_.Path -like '*javaagent*datadog-java-agent*'} | Select-Object ProcessId, Path

• java / jmx:

netstat -tulnp | grep ':1099' # Check for JMX port exposure

• generic web:

curl -I http://<target_ip>:1099 # Check for JMX endpoint exposure

攻击时间线

2026-03-26Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

报告4 份威胁报告

EPSS

0.75% (73% 百分位)

CISA SSVC

利用情况none

可自动化yes

技术影响total

受影响的软件

组件com.datadoghq:dd-java-agent

供应商osv

影响范围修复版本

>= 0.40.0, < 1.60.3 – >= 0.40.0, < 1.60.30.40.1

0.40.01.60.3

弱点分类 (CWE)

CWE-502

时间线

已保留2026-03-23
发布日期2026-03-26
修改日期2026-03-27
EPSS 更新日期2026-04-03

缓解措施和替代方案

CVE-2026-33728 的主要缓解措施是将 dd-trace-java 升级到 1.60.3 或更高版本。此版本包含一项修复，可实现序列化过滤器以防止不安全的序列化。如果无法立即升级，请考虑限制对 JMX 和 RMI 端口的网络访问，以减少攻击面。积极监控系统日志中与反序列化相关的可疑活动也可以帮助检测和响应潜在的利用尝试。此外，请确保所有 Java 依赖项都是最新的，以减轻其他潜在漏洞。

修复方法

将 dd-trace-java 库更新到 1.60.3 或更高版本。如果无法更新，请设置环境变量 `DD_INTEGRATION_RMI_ENABLED=false` 以禁用 RMI 集成。此解决方法仅适用于您无法更新库的情况。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-33728 是什么 — com.datadoghq:dd-java-agent 中的 Remote Code Execution (RCE)？