Security Bulletin - Srpen 2025

Bezpečnostní upozornění

21. 8. 2025

Společnost Atlassian informuje

o 12 závažných (high-severity) zranitelnostech v externích knihovnách používaných produkty Atlassian.

Zdroj: https://confluence.atlassian.com/security/security-bulletin-august-19-2025-1621491738.html

Odkazy do National Vulnerability Database NIST s detailem jednotlivých zranitelností jsou nalinkovány do konkrétních CVE

Produkt	Affected Versions	Fixed Version(s)	Popis zranitelnosti (Závažnost, CVE ID)	Doporučená rychlost reakce (dny)	Odůvodnění
Bamboo Data Center & Server	• 11.0.0 – 11.0.3 • 10.2.0 – 10.2.6 (LTS) • 9.6.0 – 9.6.15 (LTS)	• 11.0.4 (Data Center Only) • 10.2.7 (LTS, DC Only, recommended) • 9.6.16 (LTS, DC Only)	• DoS (Denial of Service) – třetí strana – CVE-2025-53506, CVSS 7.5 (High) • DoS – třetí strana – CVE-2025-52520, CVSS 7.5 (High)	1–3	DoS postihne dostupnost služeb
Bitbucket Data Center & Server	• 9.6.0 – 9.6.4 • 9.5.0 – 9.5.2 • 9.4.0 – 9.4.8 (LTS) • 9.3.0 – 9.3.2 • 9.2.0 – 9.2.1 • 8.19.0 – 8.19.20 (LTS)	• 9.6.5 (DC Only) • 9.4.9 (LTS, DC Only, recommended) • 8.19.21 (LTS, DC Only)	• Security Misconfiguration – CVE-2025-49146, CVSS 8.2 (High) • DoS – třetí strana – CVE-2025-49125, CVSS 7.5 (High) • DoS – třetí strana – CVE-2025-48988, CVE-2025-53506, CVE-2025-52520, CVE-2025-52434, všechny CVSS 7.5 (High)	1–3	Kombinace misconfigurace i DoS ohrožuje bezpečnost i dostupnost.
Crowd Data Center & Server	• 6.3.0 – 6.3.1 • 6.2.0 – 6.2.4 • 6.1.0 – 6.1.6 • 6.0.0 – 6.0.10 • 5.3.0 – 5.3.7	• 6.3.2 (DC only, recommended) • 6.2.5 (DC only) • 5.3.8 (DC only)	• Kritická zranitelnost v ne-Atlassian závislosti – CVE-2025-7783, CVSS 9.4 (Critical; omezená expozice na jednu admin stránku) • DoS – CVE-2025-48976, CVSS 8.7 (High) • DoS – třetí strana – CVE-2025-48976, CVE-2025-52434, všechny CVSS 7.5 (High)	1–3	Kritická zranitelnost i DoS vyžadují okamžité nasazení oprav.

Produkt

Affected Versions

Fixed Version(s)

Popis zranitelnosti (Závažnost, CVE ID)

Doporučená rychlost reakce (dny)

Odůvodnění

Bamboo Data Center & Server

• 11.0.0 – 11.0.3

• 10.2.0 – 10.2.6 (LTS)

• 9.6.0 – 9.6.15 (LTS)

• 11.0.4 (Data Center Only)

• 10.2.7 (LTS, DC Only, recommended)

• 9.6.16 (LTS, DC Only)

• DoS (Denial of Service) – třetí strana – CVE-2025-53506, CVSS 7.5 (High)

• DoS – třetí strana – CVE-2025-52520, CVSS 7.5 (High)

1–3

DoS postihne dostupnost služeb

Bitbucket Data Center & Server

• 9.6.0 – 9.6.4

• 9.5.0 – 9.5.2

• 9.4.0 – 9.4.8 (LTS)

• 9.3.0 – 9.3.2

• 9.2.0 – 9.2.1

• 8.19.0 – 8.19.20 (LTS)

• 9.6.5 (DC Only)

• 9.4.9 (LTS, DC Only, recommended)

• 8.19.21 (LTS, DC Only)

• Security Misconfiguration – CVE-2025-49146, CVSS 8.2 (High)

• DoS – třetí strana – CVE-2025-49125, CVSS 7.5 (High)

• DoS – třetí strana – CVE-2025-48988, CVE-2025-53506, CVE-2025-52520, CVE-2025-52434, všechny CVSS 7.5 (High)

1–3

Kombinace misconfigurace i DoS ohrožuje bezpečnost i dostupnost.

Crowd Data Center & Server

• 6.3.0 – 6.3.1

• 6.2.0 – 6.2.4

• 6.1.0 – 6.1.6

• 6.0.0 – 6.0.10

• 5.3.0 – 5.3.7

• 6.3.2 (DC only, recommended)

• 6.2.5 (DC only)

• 5.3.8 (DC only)

• Kritická zranitelnost v ne-Atlassian závislosti – CVE-2025-7783, CVSS 9.4 (Critical; omezená expozice na jednu admin stránku)

• DoS – CVE-2025-48976, CVSS 8.7 (High)

• DoS – třetí strana – CVE-2025-48976, CVE-2025-52434, všechny CVSS 7.5 (High)

1–3

Kritická zranitelnost i DoS vyžadují okamžité nasazení oprav.

Shrnutí a doporučení

Bamboo, Bitbucket a Crowd obsahují konkrétní zranitelnosti — všechny by měly být aktuálně aktualizovány do 1–3 dnů, vzhledem k vysoké až kritické závažnosti.
Jira (Software, Service Management, Work Management) a Confluence neobsahují žádné zveřejněné opravy v sekci „Released Security Vulnerabilities“. Pokud využíváte tyto produkty, doporučuji sledovat budoucí bulletiny nebo advisories, ale pro tento konkrétní měsíc není akce uvedena.