JVNDB-2026-018252 | |
Datadogのdd-trace-javaにおける信頼できないデータのデシリアライゼーションに関する脆弱性 | |
| 概要 | |
dd-trace-javaは、Java用のDatadog APMクライアントです。dd-trace-javaのバージョン0.40.0から1.60.2未満のバージョンでは、RMI計測がカスタムエンドポイントを登録し、シリアライズフィルターを適用せずに受信データをデシリアライズしていました。JDKバージョン16およびそれ以前では、攻撃者がインストルメント化されたJVMのJMXまたはRMIポートにネットワークアクセスできる場合、これを悪用してリモートコード実行を引き起こす可能性があります。脆弱性を悪用するには、以下の3つの条件がすべて成立しなければなりません。まず、dd-trace-javaがJava 16以下のJavaエージェント(`-javaagent`)としてアタッチされていること。次に、`-Dcom.sun.management.jmxremote.port`でJMX/RMIポートが明示的に構成されており、ネットワークからアクセス可能であること。最後に、gadget-chain互換のライブラリがクラスパスに存在していることです。JDK 17以降の場合は対応不要ですが、アップグレードが強く推奨されます。JDK 8u121以上かつJDK 17未満の場合は、dd-trace-javaバージョン1.60.3以降にアップグレードしてください。シリアライズフィルターが利用できないJDK 8u121未満およびそれ以前の場合は、回避策を適用してください。回避策は、次の環境変数を設定してRMI統合を無効にすることです:`DD_INTEGRATION_RMI_ENABLED=false`。 | |
| CVSS による深刻度 (CVSS とは?) | |
|
CVSS v3 による深刻度
基本値: 9.8 (緊急) [NVD値]
| |
| 影響を受けるシステム | |
|
| |
Datadog | |
本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。 | |
| 想定される影響 | |
・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 | |
| 対策 | |
ベンダ情報を参照して適切な対策を実施してください。 | |
| ベンダ情報 | |
GitHub | |
| CWEによる脆弱性タイプ一覧 CWEとは? | |
|
| |
| 共通脆弱性識別子(CVE) CVEとは? | |
|
| |
| 参考情報 | |
| |
| 更新履歴 | |
|
| 公表日 | 2026/03/27 |
| 登録日 | 2026/06/05 |
| 最終更新日 | 2026/06/05 |
