Security bulletin - říjen 2025

Bezpečnostní upozornění

24. 10. 2025

Společnost Atlassian informuje o 14 zranitelnostech s vysokou závažností (high-severity), které byly opraveny v nových verzích produktů.

Zdroj: https://confluence.atlassian.com/security/security-bulletin-october-21-2025-1652920034.html

Odkazy do National Vulnerability Database NIST s detailem jednotlivých zranitelností jsou nalinkovány do konkrétních CVE

Produkt	Ovlivněné verze (Affected Versions)	Opravené verze (Fixed Version)	CVE ID	Doporučená rychlost reakce (dny)	Popis závažnosti / vysvětlení
Bamboo Data Center & Server	11.0.0 → 11.0.4; 10.2.0 → 10.2.7 (LTS); 9.6.0 → 9.6.16 (LTS)	11.0.5 → 11.0.7 (DC); 10.2.8 → 10.2.9 (LTS); 9.6.17 → 9.6.18 (LTS)	CVE-2025-48989	1-3 dnů	DoS (Denial of Service) z důvodu zranitelnosti „org.apache.tomcat:tomcat-coyote“ – útočník může přetížit či zastavit službu.
Fisheye/Crucible Data Center & Server	4.9.0 → 4.9.2; 4.8.14 → 4.8.16	4.9.3 → 4.9.4 Atlassian	CVE-2025-48976	1-3 dnů	DoS z důvodu zranitelnosti „commons-fileupload:commons-fileupload“ – upload může spustit výpadek či zhroucení.
Jira Data Center & Server	11.0.0 → 11.0.1; 10.7.1 → 10.7.4; 10.6.0 → 10.6.1; 10.5.0 → 10.5.1; 10.4.0 → 10.4.1; 10.3.0 → 10.3.11 (LTS); 10.2.0 → 10.2.1; 10.1.1 → 10.1.2; 10.0.0 → 10.0.1; 9.17.0 → 9.17.5; 9.16.0 → 9.16.1; 9.15.2; 9.14.0 → 9.14.1; 9.13.0 → 9.13.1; 9.12.0 → 9.12.27 (LTS)	11.1.0 → 11.1.1 (DC); 10.3.12 (LTS); 9.12.28 (LTS)	CVE-2025-22167; CVE-2025-58057; CVE-2025-58056; CVE-2025-48989; CVE-2025-7962	1-2 dnů	Více zranitelností: Path Traversal (Arbitrary Write) – útočník může zapsat libovolný soubor; DoS (io.netty); HTTP Request Smuggling (io.netty); DoS (tomcat-coyote); SMTP Injection (jakarta.mail / angus-mail)
Jira Service Management Data Center & Server	11.0.0 → 11.0.1; 10.7.1 → 10.7.4; 10.6.0 → 10.6.1; 10.5.0 → 10.5.1; 10.4.0 → 10.4.1; 10.3.0 → 10.3.11 (LTS); 10.2.0 → 10.2.1; 10.1.1 → 10.1.2; 10.0.0 → 10.0.1; 5.17.0 → 5.17.5; 5.16.0 → 5.16.1; 5.15.2; 5.14.0 → 5.14.1; 5.13.0 → 5.13.1; 5.12.0 → 5.12.27 (LTS)	11.1.0 → 11.1.1 (DC); 10.3.12 (LTS); 5.12.28 (LTS)	CVE-2025-22167; CVE-2025-58057; CVE-2025-58056; CVE-2025-48989; CVE-2025-7962	1-2 dnů	Více zranitelností: Path Traversal (Arbitrary Write) – útočník může zapsat libovolný soubor; DoS (io.netty); HTTP Request Smuggling (io.netty); DoS (tomcat-coyote); SMTP Injection (jakarta.mail / angus-mail)

Shrnutí priorit

Priorita	CVE	Riziko	Doporučený čas reakce
Kritická	CVE-2025-22167	Arbitrary File Write / RCE	do 24 hodin
Vysoká	CVE-2025-58057 / 58056	HTTP Request Smuggling / DoS	do 1–2 dnů
Střední	CVE-2025-48989 / 7962	DoS / SMTP Injection	do 3–5 dnů