Security bulletin - prosinec 2025

Bezpečnostní upozornění

15. 12. 2025

Z Atlassian Security Bulletin – December 11 2025 plyne, že je v něm celkem 46 zranitelností (37 High + 9 Critical) v různých produktech.

Zdroj https://confluence.atlassian.com/security/security-advisories-bulletins-1236937381.html?utm_source=sfmc&utm_medium=email&utm_campaign=security-advisory-notice_EML-16646&jobid=107677056&subid=1535804226

Odkazy do National Vulnerability Database NIST s detailem jednotlivých zranitelností jsou nalinkovány do konkrétních CVE

Produkt	Affected Versions	Fixed Versions	Závažnost & Popis (CVE)	Doporučená reakce (dny)
Bamboo Data Center & Server	12.0.11 0.2.0–10.2.11 (LTS) 9.6.1–9.6.19 (LTS)	12.0.2 DC only 10.2.12 (LTS) DC only 9.6.20 (LTS) DC only	CVE-2025-66516 – XXE v Tika (třetí strana), CVSS 10 Critical – vstup externí entity může vést k úniku dat při XML parsování.	0–3 dny – Kritické (10) prioritně, High (7.5) do 3 dnů
Bamboo Data Center & Server	12.0.11 0.2.0–10.2.11 (LTS) 9.6.1–9.6.19 (LTS)	12.0.2 DC only 10.2.12 (LTS) DC only 9.6.20 (LTS) DC only	CVE-2025-52434 – DoS v tomcat-util, CVSS 7.5 High – lze zahlcením služby způsobit nedostupnost.	0–3 dny – Kritické (10) prioritně, High (7.5) do 3 dnů
Bitbucket Data Center & Server	9.1.0–9.1.1 9.0.1 8.19.0–8.19.24 (LTS) 8.18.0–8.18.1 10.1.1–10.1.3 DC 10.0.0–10.0.2 DC 9.4.0–9.4.15 (LTS) DC 8.19.25–8.19.26 (LTS) DC	9.1.2 9.0.2 8.19.25 (LTS) 8.18.2 10.1.4 DC 10.0.3 DC 9.4.16 DC (LTS) 8.19.27 DC (LTS)	CVE-2024-7254 – DoS v protobuf-java, CVSS 8.7 High – zahlcení procesů vede k výpadku. Atlassian Documentation	3–7 dny – High závažnost, do SLA patch cyklu
Confluence Data Center & Server	10.2.0 (LTS)	10.2.1 (LTS) DC only 9.2.12 (LTS) DC only 8.5.30 (LTS)	CVE-2025-66516 – XXE v Tika (třetí strana), CVSS 10 Critical – vstup externí entity může vést k úniku dat při XML parsování.	0–3 dny – Kritické hrozby prioritně; High do 3 dní
	10.1.0–10.1.2		CVE-2022-37601 – prototype pollution (CVSS 9.8 Critical).
	10.0.2–10.0.3		CVE-2024-29415 – SSRF (CVSS 8.1 High).
	9.5.1–9.5.4 9.4.0–9.4.1 9.3.1–9.3.2 9.2.0–9.2.11 (LTS) 9.1.0–9.1.1 9.0.1–9.0.3 8.9.0–8.9.8 8.8.0–8.8.1 8.5.5–8.5.29 (LTS) 7.19.18–7.19.30 (LTS)		CVE-2024-12905, CVE-2022-37599, CVE-2022-37603 – různé DoS/file inclusion (CVSS 7.5–7.5 High)
Crowd Data Center & Server	7.1.0–7.1.1	7.1.2 DC only	CVE-2025-66516 – XXE v Tika (třetí strana), CVSS 10 Critical – vstup externí entity může vést k úniku dat při XML parsování.	0–3 dny – Kritické prioritně; High patch co nejdřív
	7.0.0–7.0.2		CVE-2025-52999, CVE-2025-55163 – DoS (CVSS 8.7–8.2 High).
	6.3.0–6.3.3 6.2.0–6.2.6 6.1.0–6.1.7 6.0.0–6.0.10 5.3.0–5.3.8 5.2.2–5.2.11 5.1.7–5.1.13		CVE‑2024‑13009 – Information Disclosure (Jackson Databind) — CVSS 7.2 CVE‑2025‑41248 – Improper Authorization (spring‑security‑core) — CVSS 7.5 Rapid7+1 CVE‑2016‑1182 – DoS (org.apache.struts… tomcat / struts‑core) — CVSS 8.2 (vysoko blízko pásma) CVE‑2025‑48976 – DoS (commons‑fileupload) — CVSS 7.5 CVE‑2022‑3517 – DoS (minimatch) — CVSS 7.5 CVE‑2025‑58754 – DoS (axios) — CVSS 7.5 CVE‑2023‑49735 – XXE (axios case) — CVSS 7.5
Fisheye/Crucible Server	4.9.0–4.9.5	4.9.6	CVE-2025-66516 – XXE v Tika (třetí strana), CVSS 10 Critical – vstup externí entity může vést k úniku dat při XML parsování.	0–3 dny – Critical patch 1. den; High 3 dní
Fisheye/Crucible Server	4.8.14–4.8.16	4.9.6	CVE-2025-59250 – Improper input validation (High, 8.1). Atlassian Documentation	0–3 dny – Critical patch 1. den; High 3 dní
Jira Software Data Center & Server Jira Service Management DC & Server	11.2.0–11.2.1	11.3.0 (LTS) DC only 10.3.15 (LTS) DC only	CVE-2025-66516 – XXE v Tika (třetí strana), CVSS 10 Critical – vstup externí entity může vést k úniku dat při XML parsování.	0–3 dny – pro Critical; High do 3 dní
	11.1.0–11.1.1		CVE-2021-39227 – prototype pollution (CVSS 9.8 Critical).
	11.0.0–11.0.1		CVE-2025-54988 – XXE (CVSS 8.4 High).
	10.3.0–10.3.14 (LTS) 9.12.1–9.12.30 (LTS)		CVE‑2016‑1182 -DoS (Denial‑of‑Service) - 8.2 High- DoS v org.apache.struts:struts‑core (starší, třetí strana) CVE‑2016‑1182 -DoS (Denial‑of‑Service) - 8.2 High- DoS v org.apache.struts:struts‑core (starší, třetí strana) CVE‑2025‑55163 - DoS - 8.2 High -DoS v io.netty:netty‑codec‑http2 závislosti CVE‑2016‑1181 - RCE (Remote Code Execution) - 8.1 High - RCE (historické) CVE‑2025‑27152 - SSRF (Server‑Side Request Forgery) - 7.7 High - SSRF v axios závislosti CVE‑2025‑41248 - Improper Authorization - 7.5 High - Authorization bypass (spring‑security‑core) CVE‑2025‑48976 - DoS - 7.5 High - DoS v commons‑fileupload závislosti CVE‑2024‑21634 - DoS - 7.5 High - DoS (software.amazon.ion:ion‑java) CVE‑2022‑3517 - DoS - 7.5 High - DoS (minimatch) CVE‑2025‑58754 - DoS - 7.5 High - DoS (axios third‑party) CVE‑2023‑49735 - XXE - 7.5 High - XXE v axios (XML External Entity) CVE‑2022‑45693 - DoS - 7.5 High - DoS (org.codehaus.jettison:jettison) CVE‑2020‑8203 - Prototype Pollution - 7.4 High - Prototype Pollution (lodash.pick)

Pro všechny uvedené Atlassian produkty platí, že kritické a vysoké bezpečnostní chyby (XXE, DoS, RCE, SSRF, Authorization) byly opraveny v nejnovějších patch a LTS verzích. Doporučujeme co nejrychlejší aktualizaci dotčených systémů (0–3 dny pro Critical/High), aby se minimalizovalo riziko útoků a výpadků.