Security Bulletin - Duben 2026
Atlassian v bezpečnostním bulletinu z 21. dubna 2026 shrnuje 38 zranitelností napříč produkty , z toho 7 s kritickou závažností (Critical). Většina problémů pochází z knihoven třetích stran, přesto je nutné jim věnovat pozornost zejména v prostředích vystavených internetu.
Mezi nejzávažnější patří především remote code execution (RCE) zranitelnost CVE-2022-1471 ve SnakeYAML, která umožňuje spuštění libovolného kódu na serveru a tím i plné převzetí systému. Dále je kritická také mXSS zranitelnost (CVE-2024-47875) v knihovně DOMPurify, která může vést k obejití ochranných mechanismů a spuštění škodlivého JavaScriptu v prohlížeči uživatele.
V produktech Jira se objevuje kritická DoS zranitelnost (CVE-2026-25547), která může způsobit úplnou nedostupnost systému při zpracování specifických vstupů.
V Jira Service Management je navíc přítomna kritická MITM zranitelnost (CVE-2021-31597), která umožňuje odposlech nebo manipulaci s komunikací.
Kritické zranitelnosti je třeba řešit do 7 dnů, ostatní nejpozději do 30 dnů formou upgrade na opravené verze. Z pohledu bezpečnosti i provozu je klíčové prioritizovat systémy dostupné z internetu a instance obsahující citlivá data.
| Produkt | Affected Versions | Fixed Versions | CVE & Popis | CVSS / Severity | Doporučená reakce (dny) | Důvod (detail rizika) |
|---|---|---|---|---|---|---|
| Bamboo DC/Server | 12.1.0–12.1.3; 12.0.0–12.0.2; 11.0.0–11.0.8; 10.2.0–10.2.16; 10.1.0–10.1.1; 10.0.0–10.0.3; 9.6.2–9.6.24 | 12.1.6; 10.2.18 | CVE-2026-33871 – DoS v netty HTTP/2 | 8.7 High | ≤30 | Útočník může posílat speciálně crafted HTTP/2 požadavky, které vyčerpají vlákna nebo paměť serveru → výpadek build pipeline a nedostupnost služby |
| CVE-2026-21571 – OS Command Injection | 9.4 Critical | ≤7 | Nevalidovaný vstup může vést ke spuštění systémových příkazů na serveru → plné kompromitování hosta, únik CI/CD tajemství a artefaktů | |||
| CVE-2026-24880 – HTTP request smuggling | 7.5 High | ≤30 | Útočník může manipulovat HTTP requesty mezi proxy a serverem → obcházení autentizace, cache poisoning nebo eskalace útoků | |||
| CVE-2026-33870 – HTTP request smuggling | 7.5 High | ≤30 | Nesoulad parsování requestů může umožnit vložení skrytých požadavků → potenciální přístup k chráněným endpointům | |||
| CVE-2026-24734 – MITM | 7.5 High | ≤30 | Nedostatečné ověřování TLS může umožnit odposlech nebo modifikaci komunikace → kompromitace přihlašovacích údajů nebo tokenů | |||
| CVE-2026-25639 – DoS (axios) | 7.5 High | ≤30 | Speciální vstupy mohou způsobit zahlcení aplikace → zpomalení nebo pád API volání | |||
| CVE-2024-45801 – XSS | 7.3 High | ≤30 | Útočník může injektovat škodlivý JavaScript → krádež session, CSRF tokenů nebo provádění akcí jménem uživatele | |||
| Bitbucket DC/Server | 10.1.1–10.1.5; 10.0.1–10.0.2; 9.4.12–9.4.17 | 10.2.2; 9.4.19 | CVE-2022-25927 – DoS | 7.5 High | ≤30 | Útočník může poslat škodlivé user-agent hlavičky → pád nebo zpomalení Git serveru |
| Confluence DC/Server | 10.2.0–10.2.7; 10.1.0–10.1.2; 10.0.2–10.0.3; 9.5.1–9.5.4; 9.4.0–9.4.1; 9.3.1–9.3.2; 9.2.0–9.2.17; 9.1.0–9.1.1; 9.0.1–9.0.3; 8.9.1–8.9.8 | 10.2.10; 9.2.19 | CVE-2022-1471 – RCE | 9.8 Critical | ≤7 | Deserializace YAML umožňuje spustit libovolný kód → kompletní kompromitace serveru a dat (knowledge base) |
| CVE-2026-23950 – Path traversal | 8.8 High | ≤30 | Útočník může zapisovat soubory mimo očekávaný adresář → možnost nahrání webshellu nebo přepsání konfigurace | |||
| CVE-2026-33871 – DoS | 8.7 High | ≤30 | Vyčerpání serverových zdrojů → nedostupnost wiki pro uživatele | |||
| CVE-2026-29063 – Injection | 8.7 High | ≤30 | Nevalidovaný vstup může vést k injektování škodlivých dat → manipulace s aplikací nebo daty | |||
| CVE-2026-23745 – File inclusion | 8.2 High | ≤30 | Útočník může načítat lokální soubory → únik citlivých dat (config, credentials) | |||
| CVE-2026-24842 – File inclusion | 8.2 High | ≤30 | Možnost číst soubory serveru → exfiltrace dat a konfigurace | |||
| CVE-2026-31802 – File inclusion | 8.2 High | ≤30 | Únik citlivých dat ze serveru → potenciální eskalace útoku | |||
| CVE-2026-22029 – DOM XSS | 8.0 High | ≤30 | Spuštění skriptů v prohlížeči uživatele → krádež session nebo změny obsahu | |||
| CVE-2025-66020 – DoS | 7.5 High | ≤30 | Škodlivé vstupy mohou způsobit pád validace → zpomalení aplikace | |||
| CVE-2024-29371 – DoS | 7.5 High | ≤30 | Vyčerpání CPU při zpracování tokenů → degradace výkonu | |||
| CVE-2026-33870 – request smuggling | 7.5 High | ≤30 | Manipulace HTTP požadavků → možnost obejít bezpečnostní vrstvy | |||
| CVE-2026-25639– DoS | 7.5 High | ≤30 | Přetížení backendu → nedostupnost služby | |||
| CVE-2023-48631 – DoS | 7.5 High | ≤30 | Extrémní vstupy mohou způsobit pád parseru → výpadky aplikace | |||
| CVE-2024-45801 – XSS | 7.3 High | ≤30 | Vložení škodlivého JS → převzetí session uživatelů | |||
| CVE-2026-26960 – File inclusion | 7.1 High | ≤30 | Čtení souborů mimo sandbox → únik dat | |||
| Jira Software DC/Server | 11.3.0 to 11.3.3 (LTS) 10.7.1 to 10.7.4 10.6.0 to 10.6.1 10.5.0 to 10.5.1 10.4.0 to 10.4.1 10.3.0 to 10.3.18 (LTS) 10.2.0 to 10.2.1 10.1.1 to 10.1.2 10.0.0 to 10.0.1 9.17.0 to 9.17.5 9.16.0 to 9.16.1 9.15.2 9.12.8 to 9.12.33 (LTS) |
11.3.4; 10.3.19 | CVE-2024-47875 – mXSS | 10 Critical | ≤7 | Obcházení sanitizace → spouštění JS i přes ochrany → převzetí účtu admina |
| CVE-2022-1471 – RCE | 9.8 Critical | ≤7 | Spuštění libovolného kódu → kompromitace systému a dat issue trackeru | |||
| CVE-2026-25547 – DoS | 9.2 Critical | ≤7 | Extrémní vstupy způsobí vyčerpání zdrojů → nedostupnost Jira | |||
| CVE-2025-48734 – Authorization | 8.8 High | ≤30 | Obcházení oprávnění → přístup k projektům nebo datům bez autorizace | |||
| CVE-2021-0341 – MITM | 7.5 High | ≤30 | Možnost odposlechu komunikace → únik credentials | |||
| CVE-2023-1370 – DoS | 7.5 High | ≤30 | Vyčerpání CPU → zpomalení systému | |||
| CVE-2023-3635 – DoS | 7.5 High | ≤30 | Přetížení I/O → degradace výkonu | |||
| Jira Service Management DC/Server | 11.3.0 to 11.3.3 (LTS) 11.2.0 to 11.2.1 11.1.0 to 11.1.1 11.0.1 10.7.1 to 10.7.4 10.6.0 to 10.6.1 10.5.0 to 10.5.1 10.4.0 to 10.4.1 10.3.0 to 10.3.18 (LTS) 10.2.0 to 10.2.1 10.1.1 to 10.1.2 10.0.0 to 10.0.1 5.17.0 to 5.17.5 5.16.0 to 5.16.1 5.15.2 |
11.3.4; 10.3.19 | CVE-2024-47875 – mXSS | 10 Critical | ≤7 | Útočník může spustit JS v kontextu agenta → přístup k ticketům a zákaznickým datům |
| CVE-2022-1471 – RCE | 9.8 Critical | ≤7 | Kompletní kompromitace systému a service desk dat | |||
| CVE-2021-31597 – MITM | 9.4 Critical | ≤7 | Útok na komunikaci klient-server → odcizení session/tokenů | |||
| CVE-2025-48734 – Authorization | 8.8 High | ≤30 | Neautorizovaný přístup k ticketům → únik zákaznických dat | |||
| CVE-2023-3635 – DoS | 7.5 High | ≤30 | Výpadky service desku | |||
| CVE-2021-0341 – MITM | 7.5 High | ≤30 | Únik přihlašovacích údajů | |||
| CVE-2026-25547 – DoS | 7.5 High | ≤30 | Nedostupnost podpory pro zákazníky | |||
| CVE-2023-1370 – DoS | 7.5 High | ≤30 | Zpomalení systému při vysoké zátěži |
Sdílejte