Vulnerabilidad en dd-trace-java de DataDog (CVE-2026-33728)
Gravedad CVSS v4.0:
CRÍTICA
Tipo:
CWE-502
Deserialización de datos no confiables
Fecha de publicación:
27/03/2026
Última modificación:
03/06/2026
Descripción
dd-trace-java es un cliente APM de Datadog para Java. En las versiones de dd-trace-java 0.40.0 hasta la anterior a 1.60.2, la instrumentación RMI registró un punto final personalizado que deserializaba los datos entrantes sin aplicar filtros de serialización. En la versión 16 de JDK y anteriores, un atacante con acceso de red a un puerto JMX o RMI en una JVM instrumentada podría explotar esto para lograr potencialmente la ejecución remota de código. Las tres condiciones siguientes deben ser verdaderas para explotar esta vulnerabilidad: Primero, dd-trace-java está adjunto como un agente Java ('-javaagent') en Java 16 o anterior. Segundo, un puerto JMX/RMI ha sido configurado explícitamente a través de '-Dcom.sun.management.jmxremote.port' y es accesible por red. Tercero, una biblioteca compatible con cadenas de gadgets está presente en el classpath. Para JDK >= 17, no se requiere ninguna acción, pero se recomienda encarecidamente la actualización. Para JDK >= 8u121 < JDK 17, actualice a la versión 1.60.3 o posterior de dd-trace-java. Para JDK < 8u121 y anteriores donde los filtros de serialización no están disponibles, aplique la solución alternativa. La solución alternativa es establecer la siguiente variable de entorno para deshabilitar la integración RMI: 'DD_INTEGRATION_RMI_ENABLED=false'.
Impacto
Puntuación base 4.0
9.30
Gravedad 4.0
CRÍTICA
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:datadog:dd-trace-java:*:*:*:*:*:*:*:* | 0.40.0 (incluyendo) | 1.60.3 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página



