「OpenTelemetry Java Instrumentation」に脆弱性 - 派生ソフトも注意を

アプリケーションのテレメトリデータを収集するために用いられるJavaエージェント「OpenTelemetry Java Instrumentation」に脆弱性が明らかとなった。

Javaエージェントとして同ソフトウェアを利用している場合、信頼できないデータをデシリアライズする脆弱性「CVE-2026-33701」が判明したもの。

RMIインストルメンテーションにおいて、シリアライゼーションフィルタが受信データに適用されておらず、ガジェットチェーンが成立するライブラリがクラスパスに存在する場合にリモートからコードを実行されるおそれがある。

CVE番号を採番したGitHubでは、共通脆弱性評価システム「CVSSv4.0」のベーススコアを「9.3」と評価。重要度は4段階中もっとも高い「クリティカル（Critical）」とレーティングされている。

同脆弱性は、現地時間2026年3月23日に公開された「OpenTelemetry Java Instrumentation 2.26.1」で修正されており、アップデートが呼びかけられている。アップデートが困難な場合は、RMI統合機能を無効化する回避策もアナウンスされている。

（Security NEXT - 2026/03/27 ）ツイート