CVE-2026-33701— OpenTelemetry Instrumentation for Java 代码问题漏洞

EPSS 0.20% · P42 更新日 2026-03-27

新しい脆弱性情報の通知を購読するログインして購読

I. CVE-2026-33701の基本情報

脆弱性情報

脆弱性についてご質問がありますか？Shenlongの分析が参考になるかご確認ください！

Shenlongの10の質問を表示 ↗

高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。

脆弱性タイトル

OpenTelemetry: Unsafe Deserialization in RMI Instrumentation may Lead to Remote Code Execution

ソース: NVD (National Vulnerability Database)

脆弱性説明

OpenTelemetry Java Instrumentation provides OpenTelemetry auto-instrumentation and instrumentation libraries for Java. In versions prior to 2.26.1, the RMI instrumentation registered a custom endpoint that deserialized incoming data without applying serialization filters. On JDK version 16 and earlier, an attacker with network access to a JMX or RMI port on an instrumented JVM could exploit this to potentially achieve remote code execution. All three of the following conditions must be true to exploit this vulnerability: First, OpenTelemetry Java instrumentation is attached as a Java agent (`-javaagent`) on Java 16 or earlier. Second, JMX/RMI port has been explicitly configured via `-Dcom.sun.management.jmxremote.port` and is network-reachable. Third, gadget-chain-compatible library is present on the classpath. This results in arbitrary remote code execution with the privileges of the user running the instrumented JVM. For JDK >= 17, no action is required, but upgrading is strongly encouraged. For JDK < 17, upgrade to version 2.26.1 or later. As a workaround, set the system property `-Dotel.instrumentation.rmi.enabled=false` to disable the RMI integration.

ソース: NVD (National Vulnerability Database)

CVSS情報

N/A

ソース: NVD (National Vulnerability Database)

脆弱性タイプ

可信数据的反序列化

ソース: NVD (National Vulnerability Database)

脆弱性タイトル

OpenTelemetry Instrumentation for Java 代码问题漏洞

ソース: CNNVD (China National Vulnerability Database)

脆弱性説明

OpenTelemetry Instrumentation for Java是OpenTelemetry开源的一个 Java 代理 JAR。 OpenTelemetry Instrumentation for Java 2.26.1之前版本存在代码问题漏洞，该漏洞源于RMI工具注册的自定义端点反序列化数据时未应用序列化过滤器，可能导致远程代码执行。

ソース: CNNVD (China National Vulnerability Database)

CVSS情報

N/A

ソース: CNNVD (China National Vulnerability Database)

脆弱性タイプ

N/A

ソース: CNNVD (China National Vulnerability Database)

影響を受ける製品

ベンダー	プロダクト	影響を受けるバージョン	CPE	購読
open-telemetry	opentelemetry-java-instrumentation	< 2.26.1	-

II. CVE-2026-33701の公開POC

#	POC説明	ソースリンク	Shenlongリンク

AI生成POCプレミアム

公開POCは見つかりませんでした。

ログインしてAI POCを生成

III. CVE-2026-33701のインテリジェンス情報

请登录查看更多情报信息。

IV. 関連脆弱性

同じ製品: opentelemetry-java-instrumentation

CVE-2023-39951
Instrumentation for AWS SDK v2 captures email content when u

同じベンダー: open-telemetry

同じ弱点: CWE-502

V. CVE-2026-33701へのコメント

まだコメントはありません

目標達成すべての支援者に感謝 — 100%達成しました！

CVE-2026-33701— OpenTelemetry Instrumentation for Java 代码问题漏洞

I. CVE-2026-33701の基本情報

脆弱性情報

脆弱性タイトル

脆弱性説明

CVSS情報

脆弱性タイプ

脆弱性タイトル

脆弱性説明

CVSS情報

脆弱性タイプ

影響を受ける製品

II. CVE-2026-33701の公開POC

III. CVE-2026-33701のインテリジェンス情報

IV. 関連脆弱性

V. CVE-2026-33701へのコメント

コメントを残す

目標達成 すべての支援者に感謝 — 100%達成しました！

CVE-2026-33701— OpenTelemetry Instrumentation for Java 代码问题漏洞

I. CVE-2026-33701の基本情報

脆弱性情報

脆弱性タイトル

脆弱性説明

CVSS情報

脆弱性タイプ

脆弱性タイトル

脆弱性説明

CVSS情報

脆弱性タイプ

影響を受ける製品

II. CVE-2026-33701の公開POC

III. CVE-2026-33701のインテリジェンス情報

IV. 関連脆弱性

V. CVE-2026-33701へのコメント

コメントを残す

目標達成すべての支援者に感謝 — 100%達成しました！