Security Bulletin - Únor 2026
V Atlassian Security Bulletin February 2026 bylo hlášeno celkem 16 zranitelností v různých produktech. Z toho na produktu Crowd Data Center & Server jsou nalezeny 3 zranitelnosti Critical (CVE-2025-66516, CVE-2025-9288, CVE-2025-9287 )
Zdroj https://confluence.atlassian.com/security/security-bulletin-february-17-2026-1722256046.html
Odkazy do National Vulnerability Database NIST s detailem jednotlivých zranitelností jsou nalinkovány do konkrétních CVE
| Produkt | Affected Versions | Fixed Versions | CVE & Popis (co to znamená / napadnutelnost) | Severity / CVSS | Doporučená reakce (dny) | Důvod |
|---|---|---|---|---|---|---|
| Bamboo Data Center & Server |
12.1.0 (LTS), 12.0.1–12.0.2, 11.0.7–11.0.8, 10.2.9–10.2.13 (LTS) |
12.1.2 (LTS), 10.2.14–10.2.15 (LTS) |
CVE-2025-66021 – DOM-based XSS: škodlivý skript může být vložen do webových stránek a spustit se u jiných uživatelů → potenciální krádež session / útoky přes prohlížeč. | High / CVSS 8.6 | 7 | XSS útočný vektor může vést k úniku session/tokenů a dalšímu eskalování útoku. |
| Confluence Data Center & Server |
10.2.0–10.2.2, 10.1.0–10.1.2, 10.0.2–10.0.3, 9.5.1–9.5.4, 9.4.0–9.4.1, 9.3.1–9.3.2, 9.2.0–9.2.13, 9.1.0–9.1.1, 9.0.1–9.0.3, 8.9.0–8.9.8, 8.8.1, 8.5.7–8.5.31, 7.19.20–7.19.30 (LTS) |
10.2.6 (LTS), 10.2.3, 9.2.15, 9.2.14 |
CVE-2025-59343 – File Inclusion: netěsnost v tar-fs knihovně, možnost nežádoucí manipulace s obsahem archivů. | High / CVSS 8.7 | 7 | Nepovolený přístup k souborům může vést k nechtěné manipulaci nebo úniku dat. |
| CVE-2025-41249 – Improper Authorization: chybné ověřování přístupu → potenciální přístup mimo autorizaci. | High / CVSS 7.5 | 7 | Riziko nežádoucího přístupu k funkcím či datům bez příslušné autorizace. | |||
| CVE-2022-25883, CVE-2020-28469, CVE-2025-48976, CVE-2022-25927 – DoS: Denial-of-Service útok → služba může být zahlcena či nedostupná. | High / CVSS 7.5 | 14 | DoS nevede k úniku dat nebo RCE, ale může způsobit nedostupnost služby. | |||
| Crowd Data Center & Server |
7.1.0–7.1.3, 7.0.0–7.0.2, 6.3.0–6.3.4, 6.2.0–6.2.6, 6.1.0–6.1.7, 6.0.0–6.0.10, 5.3.1–5.3.8, 5.1.13, 5.0.11 |
7.1.5 | CVE-2025-66516 – XXE (XML External Entity): nepovolené zpracování externích entit může vést k úniku interních souborů nebo síťových dat z parserů třetích stran. | Critical / CVSS 9.8 | 3 | XXE může umožnit útočníkovi číst interní soubory nebo vést k pokročilejším útokům při vstupu specifických XML dat. |
| CVE-2025-9288, CVE-2025-9287 – Injection (third-party): injektážní chyby v knihovnách → potenciální škodlivé vstupy vedoucí k útokům. | Critical / CVSS 9.1 | 3 | Injection chyby patří mezi nejrizikovější, umožňují útoky jako RCE nebo únik dat. | |||
| CVE-2025-48734 – RCE via commons-beanutils: vzdálené spuštění kódu → kompletní kompromitace služby. | High / CVSS 8.8 | 7 | RCE znamená možnost útočníkovi spustit libovolný kód na serveru. | |||
| CVE-2025-66675 – DoS: zranitelnost ve struts2-core → DoS. | High / CVSS 8.2 | 14 | Ovlivnění dostupnosti služby. | |||
| CVE-2020-28469, CVE-2022-25927, CVE-2019-20149, CVE-2024-57699 – DoS / Insecure deserialization: dostupnost a integrita. | High / CVSS 7.5 | 14 | Střední až vysoké dopady bez přímého RCE; DoS + možné logické chyby. |
Sdílejte