Security Bulletin - Březen 2026
V Atlassian Security Bulletin za březen 2026 bylo hlášeno celkem 21 zranitelností v různých produktech. Všechny zranitelnosti jsou klasifikovány jako High, Critical zranitelnosti nebyly nalezeny.
Zdroj https://confluence.atlassian.com/security/security-bulletin-march-17-2026-1721271371.html
Odkazy do National Vulnerability Database NIST s detailem jednotlivých zranitelností jsou nalinkovány do konkrétních CVE.
Doporučená reakce je u všech zranitelností standardně do 14 dní, u systémů vystavených internetu nebo kritických služeb (např. CI/CD, identity) se doporučuje rychlejší patching do 7 dní. Zranitelnosti se týkají především third‑party knihoven a dependency, ačkoli nepředstavují přímé RCE nebo 0‑day exploity, mohou být zneužity kombinovaně a ovlivnit dostupnost, stabilitu nebo integritu dat systémů.
| Produkt | Affected Versions | Fixed Versions | CVE & Popis (co to znamená / napadnutelnost) | Severity / CVSS | Doporučená reakce (dny) | Důvod |
|---|---|---|---|---|---|---|
| Bamboo Data Center & Server |
12.1.0–12.1.2 (LTS), 12.0.0–12.0.2, 11.0.0–11.0.8, 10.2.0–10.2.15 (LTS), 10.1.0–10.1.1, 10.0.0–10.0.3, 9.6.1–9.6.23 (LTS) |
12.1.3 (LTS), 10.2.16 (LTS), 9.6.24 (LTS) |
CVE‑2026‑21570 – RCE (Remote Code Execution): útočník může vzdáleně spouštět kód. | High / 8.6 | 14 | Zranitelnost v jádře produktu/komponentě vede k možnosti převzetí kontroly. |
| CVE‑2025‑68493 – Missing XML Validation (Apache Struts): chybí validace XML → potenciální zpracování škodlivých dat. | High / 8.1 | 14 | Zneužitelné vstupy přes XML. | |||
| CVE‑2025‑64775 – DoS (Apache Struts): útok na dostupnost služby. | High / 7.1 | 14 | DoS ovlivňuje dostupnost. | |||
| Bitbucket Data Center & Server |
10.1.1–10.1.4, 9.4.16 (LTS), 10.2.0–10.2.1 (LTS), 10.1.5, 9.4.17–9.4.18 (LTS) |
10.2.0–10.2.1 (LTS), 10.1.5, 9.4.17–9.4.18 (LTS) |
CVE‑2022‑25883 – DoS (semver): Denial‑of‑Service způsobený knihovnou semver. | High / 7.5 | 14 | DoS narušuje dostupnost služby. |
| Confluence Data Center & Server |
10.2.0–10.2.6 (LTS), 10.1.0–10.1.2, 9.5.1–9.5.4, 9.2.5–9.2.14 (LTS), 9.0.1, 10.2.7 (LTS), 9.2.15–9.2.17 (LTS), 9.0.2–9.0.3 |
10.2.7 (LTS), 9.2.15–9.2.17 (LTS), 9.0.2–9.0.3 |
CVE‑2025‑64756 – OS Command Injection (glob): zranitelnost v knihovně glob umožňující vložení příkazů. | High / 7.5 | 14 | Potenciální exekuce nežádoucích příkazů skrze neověřené vstupy. |
| Crowd Data Center & Server |
7.1.0–7.1.3, 7.0.0–7.0.2, 6.3.0–6.3.4, 6.2.2–6.2.6, 6.1.3–6.1.7, 6.0.0–6.0.10, 5.3.1–5.3.8 |
7.1.5, 6.3.5 | CVE‑2026‑21884 – DOM‑based XSS (react‑router‑dom): škodlivý skript může být vložen do DOM. | High / 8.2 | 14 | Cross‑Site Scripting může vést k úniku session nebo manipulaci obsahu. |
| CVE‑2026‑22029 – DOM‑based XSS (@remix‑run/router): další XSS v router komponentě. | High / 8.0 | 14 | XSS v knihovním kódu. | |||
| CVE‑2026‑25639 – DoS (axios): útok na dostupnost služby prostřednictvím axios knihovny. | High / 7.5 | 14 | DoS ovlivňuje dostupnost. | |||
| Fisheye/Crucible |
4.9.0–4.9.7, 4.8.16 |
4.9.8 | CVE‑2023‑52428 – DoS (nimbus‑jose‑jwt): Denial‑of‑Service způsobený knihovnou nimbus‑jose‑jwt. | High / 7.5 | 14 | DoS ovlivňuje dostupnost. |
| Jira Data Center & Server |
11.3.0–11.3.2 (LTS), 11.2.0–11.2.1, 11.1.0–11.1.1, 11.0.0–11.0.1, 10.7.1–10.7.4, 10.6.0–10.6.1, 10.5.0–10.5.1, 10.4.0–10.4.1, 10.3.0–10.3.17 (LTS), 10.2.0–10.2.1, 10.1.1–10.1.2, 10.0.0–10.0.1, 9.17.0–9.17.5, 9.16.0–9.16.1, 9.15.2 |
11.3.3 (LTS), 10.3.18 (LTS) |
CVE‑2026‑23950 – Path Traversal (node‑tar): neoprávněný přístup k souborovému systému přes node‑tar. | High / 8.8 | 14 | Přístup k souborům mimo očekávaný adresář. |
| CVE‑2026‑23745 – File Inclusion (node‑tar): nežádoucí vložení souborů. | High / 8.2 | 14 | Manipulace s obsahem. | |||
| CVE‑2026‑24842 – File Inclusion (node‑tar): další varianta file inclusion. | High / 8.2 | 14 | Podobný vektor file inclusion. | |||
| CVE‑2022‑25927 – DoS (ua‑parser‑js): DoS přes ua‑parser‑js knihovnu. | High / 7.5 | 14 | DoS ovlivňuje dostupnost. | |||
| CVE‑2022‑25883 – DoS (semver): Denial‑of‑Service. | High / 7.5 | 14 | DoS ovlivňuje dostupnost. | |||
| CVE‑2020‑28469 – DoS (glob‑parent): Denial‑of‑Service. | High / 7.5 | 14 | DoS ovlivňuje dostupnost. | |||
| Jira Service Management Data Center & Server |
11.3.0–11.3.2 (LTS), 11.2.0–11.2.1, 11.1.0–11.1.1, 11.0.0–11.0.1, 10.7.1–10.7.4, 10.6.0–10.6.1, 10.5.0–10.5.1, 10.4.0–10.4.1, 10.3.0–10.3.17 (LTS), 10.2.0–10.2.1, 10.1.1–10.1.2, 10.0.0–10.0.1, 5.17.0–5.17.5, 5.16.0–5.16.1, 5.15.2, 5.12.29–5.12.33 (LTS) |
11.3.3 (LTS), 10.3.18 (LTS) |
DoS → Denial of Service. |
High / 7.5 | 14 |
DoS ovlivňuje dostupnost. |
|
CVE‑2026‑23950 – Path Traversal (node‑tar): neoprávněný přístup k souborovému systému přes node‑tar. |
High / 8.8 | 14
|
Přístup k souborům mimo očekávaný adresář. Možnost zneužití u Internet facing |
|||
|
CVE‑2026‑23745 – File Inclusion (node‑tar): nežádoucí vložení souborů. |
High / 8.2 | 14 |
Manipulace s obsahem. |
|||
|
CVE‑2026‑24842 – File Inclusion (node‑tar): další varianta file inclusion. |
High / 8.2 | 14 |
Podobný vektor file inclusion. |
|||
|
CVE‑2022‑25927 – DoS (ua‑parser‑js): DoS přes ua‑parser‑js knihovnu. |
High / 7.5 | 14 |
DoS ovlivňuje dostupnost. |
|||
|
CVE‑2022‑25883 – DoS (semver): Denial‑of‑Service. |
High / 7.5 | 14 |
DoS ovlivňuje dostupnost. |
|||
|
CVE‑2020‑28469 – DoS (glob‑parent): Denial‑of‑Service. |
High / 7.5 | 14 |
DoS ovlivňuje dostupnost. |
Sdílejte