Security Bulletin - Červen 2025
Společnost Atlassian informuje
o 4 závažných (high-severity) zranitelnostech v externích knihovnách používaných produkty Atlassian.
Zdroj: https://confluence.atlassian.com/security/security-bulletin-june-17-2025-1574012717.html
Odkazy do National Vulnerability Database NIST s detailem jednotlivých zranitelností jsou nalinkovány do konkrétních CVE
Souhrn zranitelností
| Produkt | Affected Versions | Fixed Version | CVE ID / Závažnost & Popis | Doporučená reakce |
|---|---|---|---|---|
| Bamboo Data Center a Server | 10.2.0–10.2.2 (LTS), 10.1.0–10.1.1, 9.6.0–9.6.13 (LTS) | 10.2.3–10.2.4 (LTS) doporučeno pro Data Center | CVE‑2025‑22228, High – chybné autorizace v závislosti spring‑security‑crypto mohou umožnit neoprávněný přístup | Co nejdříve (1–3 dny): High CVSS + možnost neoprávněného přístupu → aktualizace co nejdříve |
| Bitbucket DC/Server | 9.6.0–9.6.1, 9.5.0–9.5.1, 9.4.0–9.4.5 (LTS), …, 8.9.4–8.9.26 (LTS) | 9.6.2, 9.5.2, 9.4.6 (LTS), 8.19.18 (LTS), 8.9.27 (LTS) | CVE‑2025‑24970, CVE‑2024‑57699, CVE‑2025‑31650, všechny High – DoS zranitelnosti v third‑party knihovnách, umožňují zahlcení služby nebo výpadek během útočné situace | Týden max.: zachování provozuschopnosti služby |
| Confluence DC/Server | 9.4.0–9.4.1, 9.3.1–9.3.2, 9.2.0–9.2.4 (LTS), …, 7.13.18–7.13.20 (LTS) | 9.5.1, 9.2.5 (LTS), 8.5.23 (LTS) | CVE‑2024‑57699, CVE‑2025‑22228, oba High – DoS může vyřadit službu, chybné autorizace v závislosti spring‑security‑crypto mohou umožnit neoprávněný přístup | Týden max.: zachování provozuschopnosti služby |
| Crowd DC/Server | 6.3.0, 6.2.0–6.2.3, 6.1.0–6.1.4, 6.0.0–6.0.7, 5.3.0–5.3.5, 5.2.0–5.2.10, 5.1.4–5.1.13 | 6.3.1, 5.3.6 | CVE‑2024‑38816, Path traversal (High) – možný neoprávněný přístup k souborům CVE‑2024‑57699, CVE‑2025‑31650, DoS může vyřadit službu |
3–7 dnů: Path traversal může způsobit neoprávněný přístup k souborům, DoS může vyřadit službu → patchování max do týdne |
| Jira Software DC/Server | 10.6.0, 10.5.0–10.5.1, 10.4.0–10.4.1, 10.3.0–10.3.5 (LTS), 10.2.0–10.2.1 | 10.6.1, 10.3.6 (LTS) | CVE‑2025‑31650, High – DoS může vyřadit službu | Týden max.: zachování provozuschopnosti služby |
| Jira Service Management DC/Server | 10.6.0, 10.5.0–10.5.1, 10.4.0–10.4.1, 10.3.0–10.3.5 (LTS), 10.2.0–10.2.1 | 10.6.1, 10.3.6 (LTS) | CVE‑2025‑31650, High – DoS může vyřadit službu | Týden max.: zachování provozuschopnosti služby |
Pokud používáte některý z produktů Atlassian uvedený v aktuálním bezpečnostním bulletinu a potřebujete pomoc s aktualizací či posouzením dopadu na Vaši instanci, rádi Vám pomůžeme.
Neváhejte nás kontaktovat na e-mailu obchod@onlioaps.com — společně najdeme nejvhodnější řešení.
Sdílejte