Security Bulletin - Září 2025

Bezpečnostní upozornění

17. 9. 2025

Společnost Atlassian informuje

o 3 závažných (high-severity) zranitelnostech v externích knihovnách používaných produkty Atlassian.

Zdroj: https://confluence.atlassian.com/security/security-bulletin-august-19-2025-1621491738.html

Odkazy do National Vulnerability Database NIST s detailem jednotlivých zranitelností jsou nalinkovány do konkrétních CVE

Produkt	Zasažené verze (Affected Versions)	Opravené verze (Fixed Versions)	Popis závažnosti a způsob napadnutí (CVE)	Doporučená rychlost reakce (dny)	Odůvodnění
Confluence Data Center & Server	9.5.1; 9.4.0–9.4.1; 9.3.1–9.3.2; 9.2.0–9.2.5 (LTS); 9.1.0–9.1.1; 9.0.1–9.0.3; 8.9.0–8.9.8; 8.8.0–8.8.1; 8.7.1–8.7.2; 8.6.0–8.6.2; 8.5.2–8.5.23 (LTS); 7.19.15–7.19.30 (LTS)	10.0.3 (DC); 9.5.2–9.5.4 (DC); 9.2.6–9.2.8 (LTS, DC); 8.5.24–8.5.26 (LTS)	CVE-2025-48734 – Remote Code Execution (CVSS 8.8, High). Zranitelnost v knihovně Apache Commons BeanUtils umožňuje útočníkovi spustit libovolný kód na serveru. Prakticky to znamená úplné ovládnutí instance při zneužití.	Co nejdříve, (ideálně <24 h).	RCE je vysoce kritická, zejména při přístupu mimo vnitřní síť. Nutná okamžitá aktualizace
Jira Data Center & Server	11.0.0; 10.7.1–10.7.2; 10.6.0–10.6.1; 10.5.0–10.5.1; 10.4.0–10.4.1; 10.3.0–10.3.8 (LTS); 10.2.0–10.2.1; 10.1.1–10.1.2; 10.0.0–10.0.1; 9.17.0–9.17.5; 9.16.0–9.16.1; 9.15.2; 9.14.0–9.14.1; 9.13.0–9.13.1; 9.12.0–9.12.25 (LTS); 9.11.1–9.11.3	11.0.1 (DC); 10.7.3–10.7.4 (DC); 10.3.9–10.3.10 (LTS, DC); 9.12.26–9.12.27 (LTS)	CVE-2025-52520, CVE-2025-53506 – Denial of Service (CVSS 7.5, High). Chyby v knihovnách třetích stran neumožňují spuštění cizího kódu, ale mohou paralyzovat provoz.	3–7 dnů.	DoS je závažné pro provozní dostupnost, ale méně urgentní než RCE. Doporučeno updatovat v rámci týdenního change window.
Jira Service Management Data Center & Server	11.0.0; 10.7.1–10.7.2; 10.6.0–10.6.1; 10.5.0–10.5.1; 10.4.0–10.4.1; 10.3.0–10.3.8 (LTS); 10.2.0–10.2.1; 10.1.1–10.1.2; 10.0.0–10.0.1; 9.17.0–9.17.5; 9.16.0–9.16.1; 9.15.2; 9.14.0–9.14.1; 9.13.0–9.13.1; 9.12.0–9.12.25 (LTS); 9.11.1–9.11.3	11.0.1 (DC); 10.7.3–10.7.4 (DC); 10.3.9–10.3.10 (LTS, DC); 9.12.26–9.12.27 (LTS)	CVE-2025-52520, *CVE-2025-53506 – Denial of Service* (CVSS 7.5, High). Chyby v knihovnách třetích stran neumožňují spuštění cizího kódu, ale mohou paralyzovat provoz. Riziko nedostupnosti servisního portálu.**	3–7 dnů. Zvlášť kritické, pokud je instance používána zákazníky – doporučeno nasadit update bez odkladu do nejbližšího servisního okna.

Produkt

Zasažené verze (Affected Versions)

Opravené verze (Fixed Versions)

Popis závažnosti a způsob napadnutí (CVE)

Doporučená rychlost reakce (dny)

Odůvodnění

Confluence Data Center & Server

9.5.1;

9.4.0–9.4.1;

9.3.1–9.3.2;

9.2.0–9.2.5 (LTS);

9.1.0–9.1.1;

9.0.1–9.0.3;

8.9.0–8.9.8;

8.8.0–8.8.1;

8.7.1–8.7.2;

8.6.0–8.6.2;

8.5.2–8.5.23 (LTS);

7.19.15–7.19.30 (LTS)

10.0.3 (DC);

9.5.2–9.5.4 (DC);

9.2.6–9.2.8 (LTS, DC);

8.5.24–8.5.26 (LTS)

CVE-2025-48734 – Remote Code Execution (CVSS 8.8, High). Zranitelnost v knihovně Apache Commons BeanUtils umožňuje útočníkovi spustit libovolný kód na serveru. Prakticky to znamená úplné ovládnutí instance při zneužití.

Co nejdříve,

(ideálně <24 h).

RCE je vysoce kritická, zejména při přístupu mimo vnitřní síť. Nutná okamžitá aktualizace

Jira Data Center & Server

11.0.0;

10.7.1–10.7.2;

10.6.0–10.6.1;

10.5.0–10.5.1;

10.4.0–10.4.1;

10.3.0–10.3.8 (LTS);

10.2.0–10.2.1;

10.1.1–10.1.2;

10.0.0–10.0.1;

9.17.0–9.17.5;

9.16.0–9.16.1;

9.15.2;

9.14.0–9.14.1;

9.13.0–9.13.1;

9.12.0–9.12.25 (LTS);

9.11.1–9.11.3

11.0.1 (DC);

10.7.3–10.7.4 (DC);

10.3.9–10.3.10 (LTS, DC);

9.12.26–9.12.27 (LTS)

CVE-2025-52520,

CVE-2025-53506 – Denial of Service (CVSS 7.5, High).

Chyby v knihovnách třetích stran neumožňují spuštění cizího kódu, ale mohou paralyzovat provoz.

3–7 dnů.

DoS je závažné pro provozní dostupnost, ale méně urgentní než RCE. Doporučeno updatovat v rámci týdenního change window.

Jira Service Management Data Center & Server