Zpět

Security Bulletin - Červen 2026

Bezpečnostní upozornění

24. 6. 2026

Zdroj: https://confluence.atlassian.com/security/security-bulletin-june-16-2026-1796309326.html

Atlassian dne 16. června 2026 zveřejnil pravidelný Security Bulletin obsahující opravy zranitelností napříč klíčovými produkty Atlassian Data Center a Server, včetně Jira Software, Jira Service Management, Confluence, Crowd, Bitbucket, Bamboo a Fisheye/Crucible. Většina identifikovaných zranitelností se nachází v komponentách třetích stran využívaných těmito produkty, zejména v knihovnách Apache Tomcat, Netty, axios, Spring Security, react-router a dalších open-source závislostech.

V rámci bulletinu bylo zveřejněno více než 70 zranitelností s hodnocením High a Critical.

Kritické zranitelnosti byly identifikovány v produktech Jira Software, Jira Service Management, Confluence a Crowd. Nejvyšší hodnocení CVSS 10.0 dosahují zranitelnosti CVE-2026-42043 (Server-Side Request Forgery) a CVE-2026-40175 (Prototype Pollution), které se týkají produktů Jira Software a Jira Service Management. Další kritické zranitelnosti zahrnují chyby typu Injection, Broken Authentication & Session Management, Improper Authorization a HTTP Request Smuggling v komponentách Apache Tomcat a Netty.

Přestože Atlassian u řady kritických zranitelností uvádí, že konkrétní způsob využití dotčených komponent v jeho produktech představuje nižší reálné riziko než původní hodnocení dodavatelů těchto knihoven, doporučuje organizacím nasadit opravené verze bez zbytečného odkladu. Zvláštní pozornost by měla být věnována systémům dostupným z internetu, prostředím s vysokým počtem uživatelů a instancím zpracovávajícím citlivá nebo regulovaná data.

Doporučujeme prioritně řešit zranitelnosti s hodnocením Critical do 14 dnů od zveřejnění bulletinu a zranitelnosti s hodnocením High nejpozději do 30 dnů. Organizace by současně měly ověřit používané verze produktů a naplánovat aktualizaci na Atlassianem doporučené opravené verze, zejména na aktuální LTS vydání jednotlivých produktových řad.

Přehled zranitelností:

 Produkt   Affected Versions   Fixed Versions   Popis   Odkaz na CVE v National Vulnerability Database NIST   Severity / CVSS   Doporučená reakce (dny)   Důvod 
 Bamboo Data Center and Server 

 12.1.0 to 12.1.7 (LTS)

12.0.0 to 12.0.2

11.0.0 to 11.0.8

10.2.0 to 10.2.19 (LTS)

10.1.0 to 10.1.1

10.0.0 to 10.0.3 

 12.1.8 (LTS) recommended Data Center Only

10.2.20 (LTS) Data Center Only 

  RCE (Remote Code Execution) org.apache.activemq:activemq-broker Dependency in Bamboo Data Center   [CVE-2026-41044](https://nvd.nist.gov/vuln/detail/CVE-2026-41044)   8.8 High   14   Vysoké riziko spuštění kódu (RCE) v brokeru ActiveMQ. Doporučena rychlá aktualizace. 
 SSRF (Server-Side Request Forgery) axios Dependency in Bamboo Data Center   [CVE-2026-44492](https://nvd.nist.gov/vuln/detail/CVE-2026-44492)   8.6 High   14   Riziko zneužití knihovny Axios pro dotazy do vnitřní sítě (SSRF) s vysokým skóre závažnosti. 
 Information Disclosure axios Dependency in Bamboo Data Center   [CVE-2026-44487](https://nvd.nist.gov/vuln/detail/CVE-2026-44487)   8.2 High   14   Neoprávněný únik informací skrze HTTP klient Axios. 
 DoS (Denial of Service) axios Dependency in Bamboo Data Center   [CVE-2026-44488](https://nvd.nist.gov/vuln/detail/CVE-2026-44488)   7.5 High   30   Možnost vyvolání pádu aplikace nebo zahlcení zdrojů (Denial of Service). 
 HTTP Request Smuggling io.netty:netty-codec-http Dependency in Bamboo Data Center   [CVE-2026-42585](https://nvd.nist.gov/vuln/detail/CVE-2026-42585)   7.5 High   30   Pašování HTTP požadavků v Netty kodeku, může vést k obcházení bezpečnostních filtrů. 
 DoS (Denial of Service) io.netty:netty-codec Dependency in Bamboo Data Center   [CVE-2026-42583](https://nvd.nist.gov/vuln/detail/CVE-2026-42583)   7.5 High   30   Chyba v Netty kodeku umožňující vyvolání DoS stavu. 
 Information Disclosure axios Dependency in Bamboo Data Center   [CVE-2026-44486](https://nvd.nist.gov/vuln/detail/CVE-2026-44486)   7.5 High   30   Další varianta úniku informací přes závislost Axios. 
 SSRF (Server-Side Request Forgery) axios Dependency in Bamboo Data Center   [CVE-2026-42038](https://nvd.nist.gov/vuln/detail/CVE-2026-42038)   7.5 High   30   Zneužití Axios k vynucení požadavků ze serveru na neoprávněné cíle. 
 DoS (Denial of Service) org.apache.tomcat:tomcat-catalina Dependency in Bamboo Data Center   [CVE-2026-41284](https://nvd.nist.gov/vuln/detail/CVE-2026-41284)   7.5 High   30   Odepření služby (DoS) zranitelností v jádru aplikačního serveru Apache Tomcat. 
 DoS (Denial of Service) axios Dependency in Bamboo Data Center   [CVE-2026-44496](https://nvd.nist.gov/vuln/detail/CVE-2026-44496)   7.5 High   30   Specifický DoS vektor útočící na komponentu Axios. 
 DoS (Denial of Service) io.netty:netty-codec Dependency in Bamboo Data Center   [CVE-2026-42587](https://nvd.nist.gov/vuln/detail/CVE-2026-42587)   7.5 High   30   Zranitelnost Netty frameworku vedoucí k znefunkčnění síťové vrstvy. 
 Business Logic Vulnerability org.apache.tomcat:tomcat-catalina Dependency in Bamboo Data Center   [CVE-2026-43513](https://nvd.nist.gov/vuln/detail/CVE-2026-43513)   7.5 High   30   Logická chyba v Tomcat Catalina, potenciálně zneužitelná k obcházení pravidel aplikace. 
 DoS (Denial of Service) org.postgresql:postgresql Dependency in Bamboo Data Center   [CVE-2026-41044](https://nvd.nist.gov/vuln/detail/CVE-2026-41044)   7.5 High   30   DoS zranitelnost v databázovém driveru PostgreSQL. 
 Injection axios Dependency in Bamboo Data Center   [CVE-2026-42033](https://nvd.nist.gov/vuln/detail/CVE-2026-42033)   7.4 High   30   Vkládání nežádoucích vstupů (Injection) skrze Axios. 
 Injection axios Dependency in Bamboo Data Center   [CVE-2026-42035](https://nvd.nist.gov/vuln/detail/CVE-2026-42035)   7.4 High   30   Další varianta zranitelnosti typu Injection v Axios. 
 Bitbucket Data Center and Server 

 10.3.0

10.2.0 to 10.2.3 (LTS)

10.1.1 to 10.1.5

10.0.0 to 10.0.2

9.6.0 to 9.6.5

9.5.0 to 9.5.2

9.4.0 to 9.4.20 (LTS)

9.3.0 to 9.3.2

9.2.0 to 9.2.1

9.1.0 to 9.1.1

9.0.1 

 10.3.1 Data Center Only

10.2.4 (LTS) recommended Data Center Only

9.4.21 (LTS) Data Center Only 

  SSRF (Server-Side Request Forgery) axios Dependency in Bitbucket Data Center   [CVE-2026-42038](https://nvd.nist.gov/vuln/detail/CVE-2026-42038)   7.5 High   30   Zneužití HTTP klienta Axios k odesílání dotazů na vnitřní infrastrukturu. 
 DoS (Denial of Service) @isaacs/brace-expansion Dependency in Bitbucket Data Center   [CVE-2026-45149](https://nvd.nist.gov/vuln/detail/CVE-2026-45149)   7.5 High   30   Zranitelnost v JavaScriptové knihovně pro expanzi závorek vedoucí k zamrznutí / DoS. 
 DoS (Denial of Service) org.apache.tomcat.embed:tomcat-embed-core Dependency in Bitbucket Data Center   [CVE-2026-41284](https://nvd.nist.gov/vuln/detail/CVE-2026-41284)   7.5 High   30   DoS zranitelnost ve vestavěném jádru aplikačního serveru Tomcat. 
 MITM (Man-in-the-Middle) org.apache.tomcat.embed:tomcat-embed-core Dependency in Bitbucket Data Center   [CVE-2026-24734](https://nvd.nist.gov/vuln/detail/CVE-2026-24734)   7.5 High   30   Možnost odposlechu nebo modifikace komunikace (Man-in-the-Middle) kvůli chybě v Tomcat embedded. 
 Injection axios Dependency in Bitbucket Data Center   [CVE-2026-42033](https://nvd.nist.gov/vuln/detail/CVE-2026-42033)   7.4 High   30   Injection zranitelnost v Axios v kontextu Bitbucketu. 
 Injection axios Dependency in Bitbucket Data Center   [CVE-2026-42035](https://nvd.nist.gov/vuln/detail/CVE-2026-42035)   7.4 High   30   Sekundární vektor vkládání kódu přes závislost Axios. 
 Confluence Data Center and Server 

 10.2.0 to 10.2.11 (LTS)

10.1.0 to 10.1.2

10.0.2 to 10.0.3
9.5.1 to 9.5.4
9.4.0 to 9.4.1
9.3.1 to 9.3.2
9.2.0 to 9.2.20 (LTS)
9.1.0 to 9.1.1
9.0.1 to 9.0.3
8.9.4 to 8.9.8
8.5.12 to 8.5.31 (LTS)
7.19.25 to 7.19.30 (LTS) 

  10.2.13 (LTS) recommended Data Center Only
9.2.21 (LTS) Data Center Only 		  Injection org.apache.tomcat:tomcat-coyote Dependency in Confluence Data Center   [CVE-2026-41293](https://nvd.nist.gov/vuln/detail/CVE-2026-41293)   9.8 Critical   14   Zranitelnost v Tomcat Coyote. Atlassian uvádí, že reálné riziko v Confluence je nižší (non-critical). 
 BASM (Broken Authentication & Session Management) org.apache.tomcat:tomcat-catalina Dependency in Confluence Data Center and Server   [CVE-2026-43512](https://nvd.nist.gov/vuln/detail/CVE-2026-43512)   9.8 Critical   14   Porušení autentizace v Tomcat Catalina. Reálné riziko v Confluence je Atlassianem vyhodnoceno jako nižší. 
 Injection io.netty:netty-codec-dns Dependency in Confluence Data Center   [CVE-2026-42579](https://nvd.nist.gov/vuln/detail/CVE-2026-42579)   9.1 Critical   14   Kritická chyba Injection v DNS kodeku Netty. Způsob implementace snižuje kritičnost hrozby. 
 HTTP Request Smuggling io.netty:netty-codec-http Dependency in Confluence Data Center   [CVE-2026-42584](https://nvd.nist.gov/vuln/detail/CVE-2026-42584)   9.1 Critical   14   Pašování HTTP požadavků přes Netty. Reálné riziko zmírněno architekturou Atlassianu. 
 Improper Authorization org.apache.tomcat:tomcat-catalina Dependency in Confluence Data Center   [CVE-2026-43515](https://nvd.nist.gov/vuln/detail/CVE-2026-43515)   9.1 Critical   14   Chyba v autorizaci v Tomcat Catalina, reálně vyhodnoceno jako méně rizikové pro Confluence. 
 DoS (Denial of Service) minimatch Dependency in Confluence Data Center   [CVE-2026-26996](https://nvd.nist.gov/vuln/detail/CVE-2026-26996)   8.7 High   14   Vysoké riziko zranitelnosti DoS v knihovně pro shodu textových vzorů Minimatch. 
 DoS (Denial of Service) org.apache.tomcat:tomcat-catalina Dependency in Confluence Data Center   [CVE-2026-41284](https://nvd.nist.gov/vuln/detail/CVE-2026-41284)   7.5 High   30   Možnost shození aplikačního serveru Tomcat podstrčeným požadavkem. 
 Business Logic Vulnerability Apache Tomcat Dependency in Confluence Data Center   [CVE-2026-43513](https://nvd.nist.gov/vuln/detail/CVE-2026-43513)   7.5 High   30   Logická chyba zabezpečení v komponentě Apache Tomcat. 
 HTTP Request Smuggling ws Dependency in Confluence Data Center   [CVE-2026-45736](https://nvd.nist.gov/vuln/detail/CVE-2026-45736)   7.5 High   30   Pašování požadavků ve WebSocket knihovně 'ws'. 
 HTTP Request Smuggling io.netty:netty-codec-http Dependency in Confluence Data Center   [CVE-2026-42585](https://nvd.nist.gov/vuln/detail/CVE-2026-42585)   7.5 High   30   Méně kritická varianta HTTP Request Smuggling v Netty. 
 DoS (Denial of Service) minimatch Dependency in Confluence Data Center   [CVE-2026-27904](https://nvd.nist.gov/vuln/detail/CVE-2026-27904)   7.5 High   30   DoS útok zneužívající zpracování regulárních výrazů v Minimatch. 
 DoS (Denial of Service) minimatch Dependency in Confluence Data Center   [CVE-2026-27903](https://nvd.nist.gov/vuln/detail/CVE-2026-27903)   7.5 High   30   Další DoS zranitelnost v knihovně Minimatch. 
 DoS (Denial of Service) @isaacs/brace-expansion Dependency in Confluence Data Center   [CVE-2026-45149](https://nvd.nist.gov/vuln/detail/CVE-2026-45149)   7.5 High   30   Využití brace-expansion knihovny k vyvolání zahlcení procesoru (DoS). 
 DoS (Denial of Service) io.netty:netty-codec-http Dependency in Confluence Data Center and Server   [CVE-2026-42587](https://nvd.nist.gov/vuln/detail/CVE-2026-42587)   7.5 High   30   DoS útok cílený na síťovou vrstvu Netty v rámci Server i Data Center edice. 
 Information Disclosure org.apache.tomcat:tomcat-websocket Dependency in Confluence Data Center   [CVE-2026-42498](https://nvd.nist.gov/vuln/detail/CVE-2026-42498)   7.3 High   30   Neoprávněné získání dat skrze WebSocket subsystém v Tomcatu. 
 Crowd Data Center and Server   7.2.0
7.1.0 to 7.1.5
7.0.0 to 7.0.2
6.3.0 to 6.3.6
6.2.0 to 6.2.6
6.1.0 to 6.1.7
6.0.0 to 6.0.10
5.3.2 to 5.3.8 		  7.2.1 recommended Data Center Only   HTTP Request Smuggling io.netty:netty-codec-http Dependency in Crowd Data Center   [CVE-2026-42581](https://nvd.nist.gov/vuln/detail/CVE-2026-42581)   9.8 Critical   14   Kritické riziko pašování požadavků. Atlassian aplikuje zmírnění, reálný dopad je nižší. 
 Business Logic Vulnerability org.springframework.security:spring-security-web Dependency in Crowd Data Center   [CVE-2026-22732](https://nvd.nist.gov/vuln/detail/CVE-2026-22732)   9.1 Critical   14   Logická zranitelnost v jádru Spring Security. Snížená úroveň kritičnosti díky izolaci v Crowd. 
 HTTP Request Smuggling io.netty:netty-codec-http Dependency in Crowd Data Center   [CVE-2026-42584](https://nvd.nist.gov/vuln/detail/CVE-2026-42584)   9.1 Critical   14   Další kritické zneužití Netty v Crowd infrastruktuře, opět s interně nižším rizikem. 
 DoS (Denial of Service) org.postgresql:postgresql Dependency in Crowd Data Center   [CVE-2026-42198](https://nvd.nist.gov/vuln/detail/CVE-2026-42198)   7.5 High   30   Odepření služby vyvolané záměrným přetížením PostgreSQL driveru. 
 DoS (Denial of Service) io.netty:netty-codec Dependency in Crowd Data Center   [CVE-2026-42583](https://nvd.nist.gov/vuln/detail/CVE-2026-42583)   7.5 High   30   DoS zranitelnost v Netty kodeku pro identitní server Crowd. 
 HTTP Request Smuggling io.netty:netty-codec-http Dependency in Crowd Data Center   [CVE-2026-42585](https://nvd.nist.gov/vuln/detail/CVE-2026-42585)   7.5 High   30   High-severity HTTP Request Smuggling dopadající na Netty knihovnu. 
 DoS (Denial of Service) io.netty:netty-codec-http2 Dependency in Crowd Data Center   [CVE-2026-42587](https://nvd.nist.gov/vuln/detail/CVE-2026-42587)   7.5 High   30   DoS zranitelnost v HTTP/2 implementaci kodeku Netty. 
 Fisheye/Crucible   4.9.0 to 4.9.10   4.9.11 recommended   Improper Authorization org.springframework.security:spring-security-core Dependency in Crucible Data Center and Server   [CVE-2024-22257](https://nvd.nist.gov/vuln/detail/CVE-2024-22257)   8.2 High   14   Chybná autorizace ve starší verzi Spring Security core využívané v Crucible. 
 BASM (Broken Authentication & Session Management) org.springframework.security:spring-security-core Dependency in Crucible Data Center and Server   [CVE-2025-22228](https://nvd.nist.gov/vuln/detail/CVE-2025-22228)   7.4 High   30   Zranitelnost správy relací a autentizace (Spring Security). 
 BASM (Broken Authentication & Session Management) org.springframework.security:spring-security-core Dependency in Crucible Data Center and Server   [CVE-2019-11272](https://nvd.nist.gov/vuln/detail/CVE-2019-11272)   7.3 High   30   Starší, přetrvávající zranitelnost správy sezení ve Spring Security komponentě. 
 Jira Data Center and Server   11.3.0 to 11.3.6 (LTS)
11.2.0 to 11.2.1
11.1.0 to 11.1.1
11.0.0 to 11.0.1
10.7.1 to 10.7.4
10.6.0 to 10.6.1
10.5.0 to 10.5.1
10.4.0 to 10.4.1
10.3.0 to 10.3.21 (LTS)
10.2.0 to 10.2.1
10.1.1 to 10.1.2
10.0.0 to 10.0.1
9.17.0 to 9.17.5
9.12.11 to 9.12.35 (LTS) 		  11.3.7 (LTS) recommended Data Center Only
10.3.22 (LTS) Data Center Only 		  SSRF (Server-Side Request Forgery) axios Dependency in Jira Software Data Center   [CVE-2026-42043](https://nvd.nist.gov/vuln/detail/CVE-2026-42043)   10 Critical   14   Maximální skóre 10 v Axios, avšak aplikace v rámci Jiry vykazuje nižší reálné riziko zneužití. 
 Prototype Pollution axios Dependency in Jira Software Data Center and Server   [CVE-2026-40175](https://nvd.nist.gov/vuln/detail/CVE-2026-40175)   10 Critical   14   Kritické znečištění prototypu (Prototype Pollution) v Axios. Atlassian deklaruje nižší reálné riziko. 
 Injection org.apache.tomcat:tomcat-catalina Dependency in Jira Software Data Center   [CVE-2026-41293](https://nvd.nist.gov/vuln/detail/CVE-2026-41293)   9.8 Critical   14   Chyba typu Injection v Tomcat Catalina. Reálné riziko je podle výrobce nižší. 
 BASM (Broken Authentication & Session Management) org.apache.tomcat:tomcat-catalina Dependency in Jira Software Data Center and Server   [CVE-2026-43512](https://nvd.nist.gov/vuln/detail/CVE-2026-43512)   9.8 Critical   14   Selhání autentizace v Tomcatu. Reálné zneužití v Jira je limitováno architekturou aplikace. 
 Injection org.apache.tomcat:tomcat-coyote Dependency in Jira Software Data Center   [CVE-2026-41293](https://nvd.nist.gov/vuln/detail/CVE-2026-41293)   9.8 Critical   14   Duplicitní záznam pro Tomcat Coyote subsystém s hodnocením non-critical risk ze strany Atlassianu. 
 Improper Authorization org.apache.tomcat:tomcat-coyote Dependency in Jira Software Data Center   [CVE-2026-43515](https://nvd.nist.gov/vuln/detail/CVE-2026-43515)   9.1 Critical   14   Nedostatečná autorizace v Tomcat Coyote, zmírněná implementací v Jira. 
 Improper Authorization org.apache.tomcat:tomcat-catalina Dependency in Jira Software Data Center   [CVE-2026-43515](https://nvd.nist.gov/vuln/detail/CVE-2026-43515)   9.1 Critical   14   Nedostatečná autorizace v Tomcat Catalina, zmírněná implementací v Jira. 
 HTTP Request Smuggling io.netty:netty-codec-http Dependency in Jira Software Data Center   [CVE-2026-42584](https://nvd.nist.gov/vuln/detail/CVE-2026-42584)   9.1 Critical   14   Kritické pašování požadavků v Netty. Výrobce vyhodnocuje reálné riziko jako nižší. 
 Injection axios Dependency in Jira Software Data Center   [CVE-2026-42264](https://nvd.nist.gov/vuln/detail/CVE-2026-42264)   9.1 Critical   14   Kritická Injection chyba v Axios, snížené reálné riziko dle vyjádření Atlassianu. 
 DoS (Denial of Service) io.netty:netty-codec-http2 Dependency in Jira Software Data Center   [CVE-2026-33871](https://nvd.nist.gov/vuln/detail/CVE-2026-33871)   8.7 High   14   DoS útok na síťový HTTP/2 stack knihovny Netty v Jira Data Center. 
 RCE (Remote Code Execution) react-router Dependency in Jira Software Data Center   [CVE-2026-42211](https://nvd.nist.gov/vuln/detail/CVE-2026-42211)   8.1 High   14   Vzdálené spuštění kódu (RCE) skrze závislost react-router v klientském rozhraní Jiry. 
 XSS (Cross Site Scripting) turbo-stream Dependency in Jira Software Data Center   [CVE-2026-34077](https://nvd.nist.gov/vuln/detail/CVE-2026-34077)   7.5 High   30   Možnost podvržení škodlivého skriptu (XSS) přes streamovací komponentu turbo-stream. 
 Information Disclosure org.apache.tomcat:tomcat-catalina Dependency in Jira Software Data Center   [CVE-2026-34487](https://nvd.nist.gov/vuln/detail/CVE-2026-34487)   7.5 High   30   Únik informací zapříčiněný chybou konfigurace / zpracování v Tomcat Catalina. 
 HTTP Request Smuggling io.netty:netty-codec-http Dependency in Jira Data Center   [CVE-2026-42585](https://nvd.nist.gov/vuln/detail/CVE-2026-42585)   7.5 High   30   Pašování HTTP požadavků v Netty, hodnoceno jako High severity. 
 DoS (Denial of Service) org.apache.tomcat:tomcat-catalina Dependency in Jira Software Data Center   [CVE-2026-41284](https://nvd.nist.gov/vuln/detail/CVE-2026-41284)   7.5 High   30   Vektor pro odepření služby (DoS) zacílený na webový kontejner Jiry. 
 DoS (Denial of Service) nth-check Dependency in Jira Software Data Center   [CVE-2021-3803](https://nvd.nist.gov/vuln/detail/CVE-2021-3803)   7.5 High   30   ReDoS (Regular Expression DoS) v knihovně nth-check, starší nevyřešená závislost. 
 Business Logic Vulnerability Apache Tomcat Dependency in Jira Software Data Center   [CVE-2026-43513](https://nvd.nist.gov/vuln/detail/CVE-2026-43513)   7.5 High   30   Logická chyba zabezpečení v aplikačním serveru Tomcat. 
 DoS (Denial of Service) minimatch Dependency in Jira Software Data Center   [CVE-2026-27903](https://nvd.nist.gov/vuln/detail/CVE-2026-27903)   7.5 High   30   Odepření služby (DoS) zneužitím knihovny Minimatch pro parsování cest. 
 DoS (Denial of Service) react-router Dependency in Jira Software Data Center   [CVE-2026-42342](https://nvd.nist.gov/vuln/detail/CVE-2026-42342)   7.5 High   30   Klientský DoS útok (způsobující pád prohlížeče uživatele) přes react-router. 
 HTTP Request Smuggling io.netty:netty-codec-http Dependency in Jira Software Data Center   [CVE-2026-33870](https://nvd.nist.gov/vuln/detail/CVE-2026-33870)   7.5 High   30   Alternativní zranitelnost HTTP Request Smuggling v síťových komponentách Netty. 
 SSRF (Server-Side Request Forgery) axios Dependency in Jira Software Data Center   [CVE-2026-42038](https://nvd.nist.gov/vuln/detail/CVE-2026-42038)   7.5 High   30   Riziko SSRF dotazů generovaných z Jira serveru přes Axios knihovnu. 
 DoS (Denial of Service) minimatch Dependency in Jira Software Data Center   [CVE-2026-27904](https://nvd.nist.gov/vuln/detail/CVE-2026-27904)   7.5 High   30   DoS útok skrze další neaktualizovanou instanci Minimatch závislosti. 
 Cryptographic Failure org.apache.tomcat:tomcat-catalina Dependency in Jira Software Data Center   [CVE-2026-34486](https://nvd.nist.gov/vuln/detail/CVE-2026-34486)   7.5 High   30   Kryptografické selhání v Tomcat Catalina ohrožující integritu nebo šifrování dat. 
 Injection axios Dependency in Jira Software Data Center   [CVE-2026-42035](https://nvd.nist.gov/vuln/detail/CVE-2026-42035)   7.4 High   30   High severity Injection riziko v knihovně Axios implementované v Jira. 
 Injection axios Dependency in Jira Software Data Center   [CVE-2026-42033](https://nvd.nist.gov/vuln/detail/CVE-2026-42033)   7.4 High   30   Druhý související Injection vektor skrze stejnou verzi Axios závislosti. 
 RCE (Remote Code Execution) axios Dependency in Jira Software Data Center   [CVE-2026-44495](https://nvd.nist.gov/vuln/detail/CVE-2026-44495)   7 High   30   Riziko vzdáleného spuštění kódu (RCE) v Axios, v Jira ohodnoceno stupněm High (skóre 7). 
 Jira Service Management Data Center and Server   11.3.0 to 11.3.6 (LTS)
11.2.0 to 11.2.1
11.1.0 to 11.1.1
11.0.0 to 11.0.1
10.7.1 to 10.7.4
10.6.0 to 10.6.1
10.5.0 to 10.5.1
10.4.0 to 10.4.1
10.3.0 to 10.3.21 (LTS)
10.2.0 to 10.2.1
10.1.1 to 10.1.2
10.0.0 to 10.0.1
5.17.0 to 5.17.5 		  11.3.7 (LTS) recommended Data Center Only
10.3.22 (LTS) Data Center Only 		  Prototype Pollution axios Dependency in Jira Service Management Data Center and Server   [CVE-2026-40175](https://nvd.nist.gov/vuln/detail/CVE-2026-40175)   10 Critical   14   Kritická chyba v Axios knihovně pro JSM. Nižší reálné riziko dle Atlassian kontextu. 
 SSRF (Server-Side Request Forgery) axios Dependency in Jira Service Management Data Center   [CVE-2026-42043](https://nvd.nist.gov/vuln/detail/CVE-2026-42043)   10 Critical   14   Maximální CVSS skóre v Axios, vyhodnoceno Atlassianem jako interně non-critical. 
 Injection org.apache.tomcat:tomcat-coyote Dependency in Jira Service Management Data Center   [CVE-2026-41293](https://nvd.nist.gov/vuln/detail/CVE-2026-41293)   9.8 Critical   14   Tomcat Coyote Injection zranitelnost ohrožující JSM. Snížené reálné riziko zneužití. 
 Authentication Bypass org.apache.tomcat:tomcat-catalina Dependency in Jira Service Management Data Center   [CVE-2026-43512](https://nvd.nist.gov/vuln/detail/CVE-2026-43512)   9.8 Critical   14   Obcházení autentizace v Tomcatu. Atlassian uvádí nižší posouzené riziko v aplikaci. 
 HTTP Request Smuggling io.netty:netty-codec-http Dependency in Jira Service Management Data Center   [CVE-2026-42584](https://nvd.nist.gov/vuln/detail/CVE-2026-42584)   9.1 Critical   14   Kritické pašování HTTP požadavků přes Netty komponentu v JSM. 
 Improper Authorization org.apache.tomcat:tomcat-catalina Dependency in Jira Service Management Data Center   [CVE-2026-43515](https://nvd.nist.gov/vuln/detail/CVE-2026-43515)   9.1 Critical   14   Chyba autorizace v Tomcat Catalina využívané v JSM, nižší reálné riziko dle výrobce. 
 Injection axios Dependency in Jira Service Management Data Center   [CVE-2026-42264](https://nvd.nist.gov/vuln/detail/CVE-2026-42264)   9.1 Critical   14   Injection zranitelnost v Axios knihovně v prostředí JSM, Atlassian značí nižší reálné riziko. 
 DoS (Denial of Service) io.netty:netty-codec-http2 Dependency in Jira Service Management Data Center   [CVE-2026-33871](https://nvd.nist.gov/vuln/detail/CVE-2026-33871)   8.7 High   14 <

Mohlo by vás zajímat

Zobrazit vše

20. 5. 2026

Bezpečnostní upozornění

Security Bulletin - Květen 2026

Atlassian v bezpečnostním bulletinu z 19. května 2026 shrnuje zranitelnosti napříč produkty Bamboo, Bitbucket, Confluence, Jira, Jira Service Management a Fisheye/Crucible

29. 8. 2022

Bezpečnostní upozornění

Kritická bezpečnostní zranitelnost pro Bitbucket Server a DC 8/2022

Zranitelnost se týká Bitbucket Server a Bitbucket Data Center a umožňuje spustit škodlivý kód zasláním příkazu pokud má útočník alespoň práva na čtení v úložišti (i lokálnímu - např. pomocí Bitbucket Mesh) a to i pokud není útočník autorizovaný.