Zpět

Security bulletin - leden 2026

Bezpečnostní upozornění

21. 1. 2026

Z  Atlassian Security Bulletin January 2026  plyne, že je v něm celkem 32 zranitelností (30 High + 2 Critical)v různých produktech.

Zdroj https://confluence.atlassian.com/security/security-bulletin-january-20-2026-1712324819.html

Odkazy do National Vulnerability Database NIST s detailem jednotlivých zranitelností jsou nalinkovány do konkrétních CVE

Produkt Affected Versions Fixed Versions CVE & Popis (co to znamená / napadnutelnost) Doporučená reakce (dny) Důvod

Bamboo

Data Center & Server

 12.0.0–12.0.1
11.0.0–11.0.8
10.2.0–10.2.12 (LTS)
10.1.0–10.1.1
10.0.0–10.0.3
9.6.0–9.6.20 (LTS)		 12.0.2 (DC)
10.2.13–10.2.14 (LTS, DC)
9.6.21–9.6.22 (LTS, DC)		 CVE-2025-12383 (CRITICAL) Race Condition (možné nekonzistentní chování).
CVE-2025-54988XXE (XML External Entity; možné čtení interních dat).
CVE-2025-55163DoS (HTTP/2; služba se může stát nedostupná).
CVE-2025-27152SSRF (server-side request forgery; vynucené interní požadavky).		 Critical CVE: 0–1
High CVEs: 3–7		 Kritické/High chyby mohou vést k úniku dat, DoS nebo zneužití služeb

Bitbucket

Data Center & Server

 10.0.0–10.0.2
9.6.0–9.6.5
9.5.0–9.5.2
9.4.0–9.4.14 (LTS)
9.3.0–9.3.2
9.2.0–9.2.1
9.1.0–9.1.1
9.0.1
8.19.0–8.19.25 (LTS)
8.18.0–8.18.1		 10.1.1–10.1.4 (DC)
9.4.15–9.4.16 (LTS, DC)
8.19.26–8.19.27 (LTS, DC)		 CVE-2025-52999DoS (jackson-core; DoS při zpracování JSON).
CVE-2024-38286DoS (Tomcat embed core).
CVE-2025-48989DoS (Tomcat embed core).
CVE-2025-55752RCE (Tomcat embed core; vzdálené spuštění kódu).
CVE-2025-41249Improper Authorization (Spring Core; slabá autorizace).		 High: 5–7 RCE a DoS mají vysoký dopad; aktualizuj do týdne.

Confluence

Data Center & Server

 10.2.0–10.2.1 (LTS)
10.1.0–10.1.2
10.0.2–10.0.3
9.5.1–9.5.4
9.4.0–9.4.1
9.3.1–9.3.2
9.2.0–9.2.12 (LTS)
9.1.0–9.1.1
9.0.1–9.0.3
8.9.0–8.9.8
8.8.0–8.8.1
8.5.6–8.5.31 (LTS)
7.19.19–7.19.30 (LTS)		 10.2.2 (LTS, DC)
9.2.13 (LTS, DC)		 CVE-2025-66516 ( CRITICAL)XXE (kritické: externí entity v XML, teoreticky únik interních dat).
CVE-2025-53689 XXE (Jackrabbit SPI; čtení nežádoucích dat).
CVE-2025-54988XXE (Tika; externí entity).
CVE-2025-49146MITM (PostgreSQL; odposlech komunikace).		 Critical: 0–1
High: 3–7		 Kritické XXE/High chyby mohou vést k úniku dat nebo narušení integrity

Crowd

Data Center & Server

 7.1.0–7.1.2
6.3.0–6.3.3		 7.1.3 (DC)
6.3.4 (DC)		 CVE-2025-54988XXE (Tika; externí entity).
CVE-2026-21569XXE (obecné XXE riziko).
CVE-2025-48976DoS (commons-fileupload2; přetížení).
CVE-2025-64775DoS (Struts2; přetížení).		 High: 3–7 XXE a DoS mohou ohrozit stabilitu služeb

Jira

Data Center & Server

 11.2.0
11.1.0–11.1.1
11.0.0–11.0.1
10.7.1–10.7.4
10.6.0–10.6.1
10.5.0–10.5.1
10.4.0–10.4.1
10.3.0–10.3.15 (LTS)
10.2.0–10.2.1
10.1.1–10.1.2
10.0.0–10.0.1
9.17.0–9.17.5
9.16.0–9.16.1
9.15.2
9.14.0–9.14.1
9.13.0–9.13.1
9.12.3–9.12.25 (LTS)		 11.3.0–11.3.1 (LTS)
11.2.1 (DC)
10.3.16 (LTS, DC)
9.12.26–9.12.31 (LTS)		 CVE-2025-15284DoS (qs; přerušení služby).
CVE-2025-52434DoS (Tomcat Coyote; nedostupnost).
CVE-2024-21538DoS (cross-spawn; přetížení).
CVE-2021-3807DoS (ansi-regex; přetížení).
CVE-2025-9288Injection (sha.js; nežádoucí kód).
CVE-2025-9287Injection (cipher-base).
CVE-2024-45801XSS (dompurify; únik session).		 High: 5–7 DoS/Injection/XSS vysoké riziko ovlivnění dostupnosti a integrity

JSM

Data Center & Server

 11.3.0 (LTS)
11.2.0
11.1.0–11.1.1
11.0.0–11.0.1
10.7.1–10.7.4
10.6.0–10.6.1
10.5.0–10.5.1
10.4.0–10.4.1
10.3.0–10.3.16 (LTS)
10.2.0–10.2.1
10.1.1–10.1.2
10.0.0–10.0.1
5.17.0–5.17.5
5.16.0–5.16.1
5.15.2
5.14.0–5.14.1
5.13.0–5.13.1
5.12.3–5.12.28 (LTS)		 11.3.1 (LTS)
11.2.1 (DC)
10.3.16 (LTS, DC)
5.12.29–5.12.31 (LTS)		 CVE-2025-15284DoS (qs).
CVE-2024-21538DoS (cross-spawn).
CVE-2021-3807DoS (ansi-regex).
CVE-2025-52434DoS (Tomcat Coyote).
CVE-2022-25883DoS (semver).
CVE-2024-45296DoS (path-to-regexp).
CVE-2022-45693DoS (jettison).
CVE-2024-45801XSS (dompurify).
CVE-2025-9288Injection (sha.js).
CVE-2025-9287Injection (cipher-base).		 High: 5–7

DoS/Injection/XSS vysoké riziko ovlivnění dostupnosti a integrity

Mohlo by vás zajímat

Zobrazit vše

24. 10. 2025

Bezpečnostní upozornění

Security bulletin - říjen 2025

Společnost Atlassian informuje o  14 zranitelnostech s vysokou závažností (high-severity), které byly opraveny v nových verzích produktů.

17. 9. 2025

Bezpečnostní upozornění

Security Bulletin - Září 2025

Společnost Atlassian informuje
o zranitelnosti Confluence: RCE, která vyžaduje okamžitou aktualizaci, a dalších 2 zranitelnostech v Jira a JSM

29. 8. 2022

Bezpečnostní upozornění

Kritická bezpečnostní zranitelnost pro Bitbucket Server a DC 8/2022

Zranitelnost se týká Bitbucket Server a Bitbucket Data Center a umožňuje spustit škodlivý kód zasláním příkazu pokud má útočník alespoň práva na čtení v úložišti (i lokálnímu - např. pomocí Bitbucket Mesh) a to i pokud není útočník autorizovaný.