Security bulletin - listopad 2025
Společnost Atlassian informuje o zranitelnostech s Kritickou (critical) a vysokou závažností (high-severity), které byly opraveny v nových verzích produktů.
Zdroj: https://confluence.atlassian.com/security/security-bulletin-november-18-2025-1671463469.html
Odkazy do National Vulnerability Database NIST s detailem jednotlivých zranitelností jsou nalinkovány do konkrétních CVE
| Produkt | Affected Versions | Fixed Version(s) | Popis závažnosti a vysvětlení (CVE) | Doporučená rychlost reakce a důvod |
|---|---|---|---|---|
| Bitbucket Data Center & Server |
10.0.0–10.0.1; 9.6.0–9.6.5; 9.5.0–9.5.2; 9.4.0–9.4.11 (LTS); 9.2.0–9.2.1; 9.1.0–9.1.1; 9.0.1; 8.19.0–8.19.24 (LTS); 8.18.0–8.18.1; 8.17.0–8.17.2; 8.16.0–8.16.4; 8.15.2–8.15.5; 8.14.3–8.14.6; 8.13.4–8.13.6; 8.12.5–8.12.6; 8.9.8–8.9.27 (LTS) |
10.0.2 (Data Center only) 8.19.25 (LTS, Data Center only) doporučeno: 9.4.13 (LTS, Data Center only) |
Zranitelnosti v knihovnách třetích stran: DoS CVE-2024-25710, SSRF CVE-2024-29415, CVE-2024-22259 Open Redirect CVE-2023-26159 Command Injection CVE-2021-23337 Prototype Pollution CVE-2020-8203, Broken Authentication CVE-2025-22228 Cryptographic Failure CVE-2022-24772, Path Traversal CVE-2022-24785 |
0–3 dny: RCE a SSRF mohou vést ke kompletnímu kompromisu, proto silně doporučeno rychlé nasazení oprav; méně exponované instance (vnitřní) lze řešit do 3 dnů. |
| Confluence Data Center & Server |
10.1.0; 9.5.1–9.5.4; 9.4.0–9.4.1; 9.3.1–9.3.2; 9.2.0–9.2.6 (LTS); 9.1.0–9.1.1; 9.0.1–9.0.3; 8.9.0–8.9.8; 8.8.0–8.8.1; 8.7.1–8.7.2; 8.6.2; 8.5.0–8.5.24 (LTS); 7.19.17–7.19.30 (LTS) |
10.1.1 (Data Center only) 10.0.2–10.0.3 (Data Center only) doporučeno: 9.2.7–9.2.10 (LTS) Data Center only 8.5.25–8.5.28 (LTS) Data Center only |
Zranitelnosti v knihovnách třetích stran: Path Traversal CVE-2025-48387 DoS (Denial of Service) CVE-2025-22166; CVE-2024-37890; CVE-2022-38900; CVE-2024-45296 Improper Authorization CVE-2025-41248 Prototype Pollution CVE-2022-46175 |
0–3 dny: vzhledem k SSRF (kritické) a dalším závažným chybám by opravy měly být nasazeny co nejrychleji; pro méně rizikové prostředí může být reakce do 3 dnů adekvátní. |
| Jira Data Center & Server |
11.1.0–11.1.1; 11.0.0–11.0.1; 10.7.1–10.7.2; 10.6.0–10.6.1; 10.5.0–10.5.1; 10.4.0–10.4.1; 10.3.0–10.3.9 (LTS); 10.2.0–10.2.1; 10.1.1–10.1.2; 10.0.0–10.0.1; 9.17.0–9.17.5; 9.16.0–9.16.1; 9.15.2; 9.14.0–9.14.1; 9.13.0–9.13.1; 9.12.0–9.12.25 (LTS) |
11.2.0 (Data Center only) 10.7.3–10.7.4 (Data Center only) 10.3.10–10.3.13 (LTS) recommended (Data Center) 9.12.26–9.12.29 (LTS) (Data Center) |
Zranitelnost v knihovnách třetí strany CVE-2025-48976 DoS útoky mohou způsobit výpadky služby, ovlivnit dostupnost Jira instancí. |
1–7 dnů: pokud je Jira vystavená veřejně nebo je klíčová pro operace, doporučeno nasadit aktualizaci co nejdříve (1–3 dny). Pro interní nebo méně kritické instance lze plánovat nasazení do 7 dnů. |
| Jira Service Management Data Center & Server | 11.1.0–11.1.1; 11.0.0–11.0.1; 10.7.1–10.7.2; 10.6.0–10.6.1; 10.5.0–10.5.1; 10.4.0–10.4.1; 10.3.0–10.3.9 (LTS); 10.2.0–10.2.1; 10.1.1–10.1.2; 10.0.0–10.0.1; 5.12.0–5.12.25 (LTS) | 11.2.0 (Data Center only) 10.7.3–10.7.4 (Data Center only) 10.3.10–10.3.13 (LTS) recommended (Data Center) 5.12.26–5.12.29 (LTS) (Data Center) |
Zranitelnost v knihovnách třetí strany CVE-2025-48976 |
1–7 dnů: doporučení stejné jako pro Jira — rychlá aktualizace u veřejně přístupných instancí, plánování pro interní dle rizika. |
Sdílejte