Security Bulletin - Květen 2025
Společnost Atlassian informuje
o 5 závažných (high-severity) zranitelnostech v externích knihovnách používaných produkty Atlassian.
I když použití těchto závislostí v Atlassian produktech znamená nižší riziko, doporučuje se aktualizace na opravené verze.
Souhrn zranitelností:
|
Produkt |
Zranitelnost |
Nalezeno ve verzích |
Opraveno ve verzích |
|
Bamboo Data Center a Server |
Typ: DoS (Denial of Service) Dopad na: org.apache.tomcat:tomcat-coyote CVE: CVE-2025-31650 Závažnost: 7.5 (Vysoká) |
|
|
|
Confluence Data Center a Server |
Typ: DoS Dopad na: com.thoughtworks.xstream:xstream CVE: CVE-2024-47072 Závažnost: 7.5 (Vysoká) |
|
|
|
Typ: DoS Dopad na: org.apache.tomcat:tomcat-coyote CVE: CVE-2025-31650 Závažnost: 7.5 (Vysoká)
|
|||
|
Fisheye / Crucible |
Typ: DoS Dopad na: net.minidev:json-smart CVE: CVE-2024-57699 Závažnost: 7.5 (Vysoká) |
|
|
|
Jira Data Center a Server |
Typ: DoS Dopad na: io.netty:netty-handler CVE: CVE-2025-24970 Závažnost: 7.5 (Vysoká) |
|
|
|
Typ: Eskalace oprávnění (Privilege Escalation) Produkt: Jira Core Data Center CVE: CVE-2025-22157 Závažnost: 7.2 (Vysoká) |
|||
|
Jira Service Management Data Center a Server
|
Typ: DoS Dopad na: io.netty:netty-handler CVE: CVE-2025-24970 Závažnost: 7.5 (Vysoká) |
|
|
|
Typ: Eskalace oprávnění (Privilege Escalation) Produkt: Jira Service Management Data Center CVE: CVE-2025-22157 Závažnost: 7.2 (Vysoká)
|
Detail zranitelností
CVE-2025-31650
Popis zranitelnosti
Ve webovém serveru Apache Tomcat byla objevena zranitelnost způsobená nesprávnou validací vstupu (Improper Input Validation). Chybné zpracování některých neplatných HTTP hlaviček typu priority vedlo k neúplnému uvolnění prostředků po zpracování selhaného požadavku, což způsobovalo únik paměti (memory leak).
Při vysokém počtu takovýchto požadavků může dojít k výjimce OutOfMemoryException, která způsobí odmítnutí služby (Denial of Service).
Zranitelnost se týká následujících verzí Apache Tomcat:
- 9.0.76 až 9.0.102
- 10.1.10 až 10.1.39
- 11.0.0-M2 až 11.0.5
Klasifikace zranitelnosti
Zranitelnost byla klasifikována pod následujícím identifikátorem:
- CWE-459 – Neúplné vyčištění prostředků (Incomplete Cleanup)
Zdroj: NIST, Apache Software Foundation
Hodnocení CVSS
|
Zdroj |
Skóre CVSS |
Vektor útoku |
|
NIST (NVD) |
7.5 – Vysoké |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
|
CISA-ADP |
7.5 – Vysoké |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Význam metrik:
- AV:N – Útok možný přes síť
- AC:L – Nízká složitost útoku
- PR:N – Nevyžaduje oprávnění
- UI:N – Nevyžaduje interakci uživatele
- S:U – Dopad se týká pouze jedné komponenty
- C:N/I:N/A:H – Nedochází k úniku dat ani narušení integrity, vysoký dopad na dostupnost
Doporučení
Správcům se doporučuje co nejdříve aktualizovat Apache Tomcat na verzi, která chybu opravuje:
- Verze 9.0.104
- Verze 10.1.40
- Verze 11.0.6
Tyto verze obsahují opravu problému a zabraňují potenciálnímu zneužití vedoucímu k přetížení serveru.
URL zdroje
- http://www.openwall.com/lists/oss-security/2025/04/28/2
- https://lists.apache.org/thread/j6zzk0y3yym9pzfzkq5vcyxzz0yzh826
CVE-2024-47072
Popis zranitelnosti
XStream je jednoduchá knihovna pro serializaci objektů do XML a zpět. Tato zranitelnost může vzdálenému útočníkovi umožnit ukončit běh aplikace chybou přetečení zásobníku (Stack Overflow Error), čímž dojde k odmítnutí služby (Denial of Service). K útoku dochází manipulací se vstupním datovým proudem v případě, že je XStream nakonfigurován s použitím BinaryStreamDriver.
Ve verzi XStream 1.4.21 byla zranitelnost opravena – knihovna nyní detekuje manipulaci v binárním vstupním proudu a místo chyby přetečení zásobníku vyvolá výjimku InputManipulationException.
Uživatelům se doporučuje přejít na opravenou verzi. Ti, kteří nemohou upgradovat, mohou dočasně řešit problém zachycením výjimky StackOverflowError v klientském kódu, pokud používají BinaryStreamDriver.
Klasifikace zranitelnosti
Zranitelnost byla klasifikována pod následujícími typy slabin:
- CWE-121 – Přetečení zásobníku (Stack-based Buffer Overflow)
- CWE-502 – Deserializace nedůvěryhodných dat (Deserialization of Untrusted Data)
Zdroj klasifikace: GitHub, Inc.
Hodnocení CVSS
|
Zdroj |
Základní skóre |
Vektor útoku |
|
GitHub (CNA) |
7.5 – Vysoké |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
|
NIST (NVD) |
Není dosud hodnoceno |
Čeká se na doplnění údajů |
- AV:N – Útok možný přes síť
- AC:L – Nízká složitost útoku
- PR:N – Nevyžaduje oprávnění
- UI:N – Nevyžaduje interakci uživatele
- S:U – Bez dopadu na více komponent
- C:N/I:N/A:H – Žádný dopad na důvěrnost a integritu, vysoký dopad na dostupnost
Doporučení
Administrátorům se doporučuje:
- Upgradovat na XStream verze 1.4.21, která obsahuje opravu zranitelnosti.
- V případě, že není možné aktualizaci provést, lze částečně ochránit aplikaci tím, že v klientském kódu bude zachytávána výjimka StackOverflowError, pokud je použit BinaryStreamDriver.
Zároveň doporučujeme zkontrolovat, zda je daný ovladač používán, a minimalizovat jeho nasazení, pokud není nezbytně nutný.
URL zdroje
- https://github.com/x-stream/xstream/commit/bb838ce2269cac47433e31c77b2b236466e9f266
- https://github.com/x-stream/xstream/security/advisories/GHSA-hfq9-hggm-c56q
- https://x-stream.github.io/CVE-2024-47072.html
CVE-2024-57699
Popis zranitelnosti
Byla zjištěna bezpečnostní zranitelnost v knihovně Netplex Json-smart ve verzích 2.5.0 až 2.5.1.
Při načtení speciálně vytvořeného JSON vstupu obsahujícího velké množství znaků { může dojít k vyčerpání zásobníku (stack exhaustion). Tento stav může útočník zneužít k vyvolání odmítnutí služby (Denial of Service, DoS).
Zranitelnost vznikla kvůli neúplné opravě předchozí chyby označené jako CVE-2023-1370.
Klasifikace zranitelnosti
Zranitelnost je zařazena pod následující klasifikaci:
- CWE-674 – Nekontrolovaná rekurze (Uncontrolled Recursion)
Zdroj: CISA-ADP
Hodnocení CVSS
NVD (NIST) zatím neposkytla oficiální hodnocení zranitelnosti CVSS.
Záznam čeká na doplnění v rámci procesu tzv. NVD enrichment.
Doporučení
- Pokud používáte knihovnu Json-smart ve verzích 2.5.0 nebo 2.5.1, doporučuje se:
- vyhnout se zpracování nedůvěryhodných JSON vstupů, nebo
- omezit hloubku rekurze/parsingu pomocí externí validace nebo sandboxu,
- případně downgrade nebo počkat na novou verzi s plnou opravou této zranitelnosti.
- Sledujte vývoj a případné oficiální opravy na GitHub repozitáři projektu.
URL zdroje
- https://github.com/TurtleLiu/Vul_PoC/tree/main/CVE-2024-57699
- https://nvd.nist.gov/vuln/detail/cve-2023-1370
CVE-2025-24970
Popis zranitelnosti
Byla identifikována zranitelnost v knihovně Netty, což je asynchronní framework pro síťové aplikace založený na událostech.
Zranitelnost se týká verzí od 4.1.91.Final do 4.1.117.Final včetně.
Při přijetí speciálně vytvořeného paketu přes komponentu SslHandler může dojít k nesprávnému zpracování a validaci tohoto paketu, což může vést k nativnímu pádu aplikace (native crash).
Zranitelnost je opravena ve verzi 4.1.118.Final.
Klasifikace zranitelnosti
- CWE-20 – Nesprávná validace vstupu (Improper Input Validation)
Zdroj: GitHub, Inc.
Hodnocení CVSS
- NVD (NIST): Hodnocení zatím nebylo poskytnuto (čeká se na doplnění).
- CNA (GitHub):
- Základní skóre: 7.5 (Vysoké)
- Vektor: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
- Hodnocení odpovídá zranitelnosti zneužitelné na dálku, bez nutnosti autentizace, vedoucí k odmítnutí služby (DoS).
Doporučení
- Upgradujte Netty na verzi 4.1.118.Final, která obsahuje opravu.
- Pokud není možné ihned aktualizovat:
- Zakázejte používání nativního SSLEngine,
- nebo proveďte manuální úpravu kódu, aby se zabránilo zneužití chyby při zpracování SSL paketů.
- Sledujte oficiální repozitář Netty pro další bezpečnostní informace a aktualizace.
URL zdroje
- https://github.com/netty/netty/commit/87f40725155b2f89adfde68c7732f97c153676c4
- https://github.com/netty/netty/security/advisories/GHSA-4g8c-wm8x-jfhw
- https://security.netapp.com/advisory/ntap-20250221-0005/
- https://www.vicarius.io/vsociety/posts/cve-2025-24970-netty-vulnerability-detection
- https://www.vicarius.io/vsociety/posts/cve-2025-24970-netty-vulnerability-mitigation
CVE-2025-22157
Popis zranitelnosti
Jedná se o vysoce závažnou zranitelnost typu Privilege Escalation (získání vyšších oprávnění), která byla zavedena ve verzích:
- Jira Core Data Center a Server: 9.12.0, 10.3.0, 10.4.0, 10.5.0
- Jira Service Management Data Center a Server: 5.12.0, 10.3.0, 10.4.0, 10.5.0
Tato zranitelnost umožňuje neautentizovanému útočníkovi provádět akce jménem uživatele s vyššími oprávněními, čímž může dojít ke zneužití administrátorských funkcí, úpravám konfigurace nebo manipulaci s daty.
Zranitelnost byla nahlášena prostřednictvím interního bezpečnostního programu společnosti Atlassian.
Klasifikace zranitelnosti
- CWE-284 – Nedostatečné řízení přístupu (Improper Access Control)
Zdroj: CISA-ADP
Hodnocení CVSS
- CNA (Atlassian):
- Základní skóre: 7.2 (Vysoké)
- Vektor: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:H/VA:H/SC:N/SI:N/SA:N
- Útočník potřebuje nízká oprávnění (např. běžný uživatel), žádné interakce uživatele nejsou vyžadovány.
- NVD (NIST): Hodnocení zatím nebylo zveřejněno.
Doporučení
Společnost Atlassian důrazně doporučuje aktualizovat Jira instance na některou z verzí, které chybu opravují.
Pokud nelze přejít na nejnovější verzi, aplikujte některou z následujících oprav:
- Jira Core Data Center a Server 9.12: aktualizujte na verzi ≥ 9.12.20
- Jira Service Management 5.12: aktualizujte na verzi ≥ 5.12.20
- Jira Core Data Center 10.3: aktualizujte na verzi ≥ 10.3.5
- Jira Service Management 10.3: aktualizujte na verzi ≥ 10.3.5
- Jira Core Data Center 10.4: aktualizujte na verzi ≥ 10.6.0
- Jira Service Management 10.4: aktualizujte na verzi ≥ 10.6.0
- Jira Core Data Center 10.5: aktualizujte na verzi ≥ 10.5.1
- Jira Service Management 10.5: aktualizujte na verzi ≥ 10.5.1
Nejnovější verze lze stáhnout z Atlassian Download Center.
URL zdroje
Sdílejte