CVE-2026-33701 CVSS 9.8 严重

CVE-2026-33701 OpenTelemetry Java反序列化漏洞

披露日期: 2026-03-27

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-33701

漏洞类型

远程代码执行

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

OpenTelemetry Java Instrumentation

漏洞概述

OpenTelemetry Java Instrumentation 2.26.1 之前的版本存在严重安全漏洞。其 RMI 检测组件在处理传入数据时未应用序列化过滤器，导致反序列化漏洞。在 JDK 16 或更早版本中，若攻击者能访问 JMX/RMI 端口，且类路径中存在 gadget 链库，即可实现远程代码执行。

技术细节

该漏洞的核心在于 OpenTelemetry Java Instrumentation 的 RMI 自动检测机制。在受影响版本中，RMI 检测器注册了一个自定义端点用于接收数据，但未对反序列化过程实施安全过滤。攻击者利用此缺陷，可向监听的 JMX/RMI 端口发送恶意构造的序列化数据。利用成功需满足三个条件：1. 在 Java 16 或更早版本上以 Java Agent 模式运行；2. 显式配置并暴露了 JMX/RMI 端口；3. 类路径中存在可利用的 gadget 链库（如 Commons Collections）。一旦满足，攻击者可触发反序列化，以 JVM 运行用户的权限执行任意代码。JDK 17+ 因内置强保护机制默认不受影响。

攻击链分析

STEP 1

1. 信息收集

扫描目标网络，识别暴露的 JMX 或 RMI 端口（通常为 1099 或自定义端口），并确认目标是否运行 Java 16 或更早版本。

STEP 2

2. 漏洞利用

利用 ysoserial 等工具生成包含恶意 gadget chain 的序列化对象，并将其发送至目标 RMI 端点的自定义注册端点。

STEP 3

3. 代码执行

目标 JVM 在反序列化数据时触发 gadget chain，导致恶意代码被执行，攻击者获得服务器控制权。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC Concept: Send malicious payload to RMI port
import socket
import subprocess

# Generate payload using ysoserial (e.g., CommonsCollections5)
# java -jar ysoserial.jar CommonsCollections5 'calc.exe' > payload.bin

TARGET_HOST = 'target-ip'
TARGET_PORT = 'jmx-port' # e.g., 9010

with open('payload.bin', 'rb') as f:
    payload = f.read()

print(f"[*] Sending payload to {TARGET_HOST}:{TARGET_PORT}")
# Note: Actual RMI protocol exploitation requires specific packet structure (e.g., using rmiploit or ysoserial's RMI registry module)
# This is a simplified representation of the attack flow.
# sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
# sock.connect((TARGET_HOST, int(TARGET_PORT)))
# sock.send(payload)
# sock.close()
print('[*] Exploit packet sent.')

影响范围

OpenTelemetry Java Instrumentation < 2.26.1

防御指南

临时缓解措施

如果无法立即升级，请设置系统属性 `-Dotel.instrumentation.rmi.enabled=false` 来禁用 RMI 集成功能，从而阻断攻击路径。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表