「OpenTelemetry Java Instrumentation」に脆弱性 - 派生ソフトも注意を

アプリケーションのテレメトリデータを収集するために用いられるJavaエージェント「OpenTelemetry Java Instrumentation」に脆弱性が明らかとなった。

Javaエージェントとして同ソフトウェアを利用している場合、信頼できないデータをデシリアライズする脆弱性「CVE-2026-33701」が判明したもの。

RMIインストルメンテーションにおいて、シリアライゼーションフィルタが受信データに適用されておらず、ガジェットチェーンが成立するライブラリがクラスパスに存在する場合にリモートからコードを実行されるおそれがある。

CVE番号を採番したGitHubでは、共通脆弱性評価システム「CVSSv4.0」のベーススコアを「9.3」と評価。重要度は4段階中もっとも高い「クリティカル（Critical）」とレーティングされている。

同脆弱性は、現地時間2026年3月23日に公開された「OpenTelemetry Java Instrumentation 2.26.1」で修正されており、アップデートが呼びかけられている。アップデートが困難な場合は、RMI統合機能を無効化する回避策もアナウンスされている。

（Security NEXT - 2026/03/27 ） ツイート

PR

関連記事

「Apache MINA」の深刻な脆弱性 - 複数ブランチで修正未反映
「BerriAI LiteLLM」にSQLi脆弱性 - 認証情報漏洩のおそれ、悪用も
「Android」に近接ネットワーク経由のRCE脆弱性 - PoC公開も
「Linuxカーネル」の暗号通信処理にLoP脆弱性「Dirty Frag」
米当局、脆弱性3件の悪用を警告 - 「Ivanti EPMM」「PAN-OS」は緊急対応を
Linuxカーネルに権限昇格の脆弱性「Copy Fail」 - PoC公開済み
「Spring Cloud Config」にパストラバーサルなど複数脆弱性
複数脆弱性を修正した「Firefox 150.0.2」をリリース - Mozilla
「Firefox」にアップデート - 「クリティカル」脆弱性を解消
暗号化通信ライブラリ「GnuTLS」に複数脆弱性 - アップデートで修正