Vulnerabilidad en dd-trace-java de DataDog (CVE-2026-33728)
Gravedad CVSS v4.0:
CRÍTICA
Tipo:
CWE-502
Deserialización de datos no confiables
Fecha de publicación:
27/03/2026
Última modificación:
27/03/2026
Descripción
dd-trace-java es un cliente APM de Datadog para Java. En las versiones de dd-trace-java 0.40.0 hasta la anterior a 1.60.2, la instrumentación RMI registró un punto final personalizado que deserializaba los datos entrantes sin aplicar filtros de serialización. En la versión 16 de JDK y anteriores, un atacante con acceso de red a un puerto JMX o RMI en una JVM instrumentada podría explotar esto para lograr potencialmente la ejecución remota de código. Las tres condiciones siguientes deben ser verdaderas para explotar esta vulnerabilidad: Primero, dd-trace-java está adjunto como un agente Java ('-javaagent') en Java 16 o anterior. Segundo, un puerto JMX/RMI ha sido configurado explícitamente a través de '-Dcom.sun.management.jmxremote.port' y es accesible por red. Tercero, una biblioteca compatible con cadenas de gadgets está presente en el classpath. Para JDK >= 17, no se requiere ninguna acción, pero se recomienda encarecidamente la actualización. Para JDK >= 8u121 < JDK 17, actualice a la versión 1.60.3 o posterior de dd-trace-java. Para JDK < 8u121 y anteriores donde los filtros de serialización no están disponibles, aplique la solución alternativa. La solución alternativa es establecer la siguiente variable de entorno para deshabilitar la integración RMI: 'DD_INTEGRATION_RMI_ENABLED=false'.
Impacto
Puntuación base 4.0
9.30
Gravedad 4.0
CRÍTICA