Security Bulletin - Květen 2026
Atlassian v bezpečnostním bulletinu z 19. května 2026 shrnuje zranitelnosti napříč produkty Bamboo, Bitbucket, Confluence, Jira, Jira Service Management a Fisheye/Crucible. Mezi nimi se nachází několik kritických zranitelností (Critical), přičemž nejzávažnější se týkají produktů Confluence, Jira Software a Jira Service Management.
V Confluence byla identifikována kritická zranitelnost CVE-2026-29145 typu Broken Authentication & Session Management, která může umožnit narušení autentizace a zneužití uživatelských relací.
Produkty Jira Software a Jira Service Management obsahují kritickou zranitelnost CVE-2026-22732 související s chybějícími bezpečnostními HTTP hlavičkami (Security Headers Omission), která může oslabit ochranu aplikace proti moderním webovým útokům.
Další zranitelnosti s vysokou závažností zahrnují především Remote Code Execution (RCE) chyby v Bamboo a Fisheye/Crucible, Injection a HTTP Request Smuggling zranitelnosti v Apache Tomcatu nebo více typů File Inclusion, XSS a Denial of Service (DoS) útoků v Jira produktech a Bitbucketu.
Kritické zranitelnosti je doporučeno řešit do 3–7 dnů, ostatní vysoce závažné nejpozději do 14 dnů formou upgrade na opravené verze. Prioritu by měly mít zejména veřejně dostupné instance a systémy obsahující citlivá firemní data.
Přehled zranitelností:
| Produkt | Affected Versions | Fixed Versions | CVE & Popis | Severity / CVSS | Doporučená reakce (dny) | Důvod |
|---|---|---|---|---|---|---|
| Bamboo Data Center and Server |
12.1.0–12.1.6 (LTS); 12.0.0–12.0.2; 11.0.0–11.0.8; 10.2.0–10.2.18 (LTS); 10.1.0–10.1.1; 10.0.0–10.0.3; 9.6.3–9.6.25 (LTS) |
12.1.7 (LTS); 10.2.19 (LTS); 9.6.26 (LTS) |
CVE-2026-5598 – timing side-channel v knihovně Bouncy Castle umožňující únik kryptografických informací. CVE-2026-27727 – Remote Code Execution v mchange-commons-java. CVE-2025-67030 – Directory Traversal v plexus-utils umožňující přístup k souborům mimo očekávané cesty. CVE-2026-29062 – DoS v jackson-core. CVE-2026-34487 – Information Disclosure v Apache Tomcat Catalina. CVE-2026-34483 – Injection chyba v Apache Tomcat Catalina. CVE-2026-29129 – Security Misconfiguration v Tomcatu. CVE-2026-39304 – DoS v ActiveMQ. |
High 7.5–8.9 | 14 | Kombinace RCE, traversal, disclosure a DoS; vysoké riziko kompromitace serveru nebo dostupnosti služby |
| Bitbucket Data Center and Server |
10.2.0–10.2.1 (LTS); 10.1.1–10.1.5; 10.0.0–10.0.2; 9.6.0–9.6.5; 9.5.0–9.5.2; 9.4.0–9.4.18 (LTS); 9.3.0–9.3.2; 9.2.0–9.2.1; 9.1.0–9.1.1; 9.0.1; 8.19.4–8.19.29 (LTS) |
10.2.2–10.2.3 (LTS); 9.4.19–9.4.20 (LTS) |
CVE-2026-33750 – Denial of Service vedoucí k nedostupnosti služby. CVE-2024-45801 – Cross-Site Scripting v DOMPurify umožňující spuštění škodlivého JavaScriptu v prohlížeči uživatele. |
High 7.3–7.5 | 14 | Riziko DoS a XSS útoků proti uživatelům a administrátorům |
| Confluence Data Center and Server |
10.2.0–10.2.10 (LTS); 10.1.0–10.1.2; 10.0.2–10.0.3; 9.5.1–9.5.4; 9.4.0–9.4.1; 9.3.1–9.3.2; 9.2.0–9.2.19 (LTS); 9.1.0–9.1.1; 9.0.1–9.0.3; 8.9.2–8.9.8 |
10.2.11 (LTS); 9.2.20 (LTS) |
CVE-2026-29145 – Broken Authentication & Session Management umožňující narušení autentizace nebo session managementu. CVE-2026-29062 – DoS v jackson-core. CVE-2026-34487 – Information Disclosure v Tomcat Catalina. CVE-2026-29146 – Information Disclosure. CVE-2026-24880 – HTTP Request/Response Smuggling v Apache Tomcat. CVE-2026-34483 – Improper Encoding / Injection v Tomcat Catalina. CVE-2026-33750 – DoS. CVE-2026-24734 – Injection chyba umožňující vložení škodlivých vstupů. |
Critical 9.1 + High 7.5–8.7 | 3–14 | Kritická zranitelnost autentizace + více chyb umožňujících disclosure, smuggling a injection útoky |
| Fisheye / Crucible |
4.9.0–4.9.9 |
04.09.2010 |
CVE-2026-27830 – Remote Code Execution v c3p0 dependency. CVE-2026-27727 – Remote Code Execution v mchange-commons-java. CVE-2026-5598 – timing side-channel v Bouncy Castle. CVE-2025-52999 – RCE v jackson-core. CVE-2026-42198 – DoS v PostgreSQL dependency. CVE-2023-24998 – DoS v commons-fileupload. |
High 7.5–8.9 | 14 | Více RCE zranitelností v závislostech, vysoké riziko převzetí serveru |
| Jira Data Center and Server |
11.3.0–11.3.4 (LTS); 11.2.0–11.2.1; 11.1.0–11.1.1; 11.0.0–11.0.1; 10.7.1–10.7.4; 10.6.0–10.6.1; 10.5.0–10.5.1; 10.4.0–10.4.1; 10.3.0–10.3.19 (LTS); 10.2.0–10.2.1; 10.1.1–10.1.2; 10.0.0–10.0.1; 9.17.0–9.17.5; 9.16.0–9.16.1; 9.12.32–9.12.34 (LTS) |
11.3.5–11.3.6 (LTS); 10.3.20–10.3.21 (LTS); 9.12.35 (LTS) |
CVE-2026-22732 – Security Headers Omission umožňující oslabení ochrany browseru. CVE-2026-29062 – DoS. CVE-2026-31802 – File Inclusion umožňující načítání nechtěných souborů. CVE-2026-29786 – File Inclusion. CVE-2026-22029 – DOM-based XSS. CVE-2026-25639 – DoS. CVE-2026-34483 – Improper Encoding v Tomcat Catalina. CVE-2026-33750 – DoS. CVE-2026-29129 – Security Misconfiguration. |
Critical 9.1 + High 7.5–8.7 | 3–14 | Kritická chyba ochranných HTTP hlaviček a více file inclusion / XSS / DoS zranitelností |
| Jira Service Management Data Center and Server |
11.3.0–11.3.4 (LTS); 11.2.0–11.2.1; 11.1.0–11.1.1; 11.0.0–11.0.1; 10.7.1–10.7.4; 10.6.0–10.6.1; 10.5.0–10.5.1; 10.4.0–10.4.1; 10.3.0–10.3.19 (LTS); 10.2.0–10.2.1; 10.1.1–10.1.2; 10.0.0–10.0.1; 5.17.0–5.17.5; 5.16.0–5.16.1 |
11.3.5–11.3.6 (LTS); 10.3.20–10.3.21 (LTS) |
CVE-2026-22732 – Security Headers Omission. CVE-2026-29062 – DoS. CVE-2026-31802 – File Inclusion. CVE-2026-29786 – File Inclusion. CVE-2026-22029 – DOM-based XSS. CVE-2026-25639 – DoS. CVE-2026-33750 – DoS. CVE-2026-34483 – Improper Encoding v Tomcat Catalina. CVE-2026-26960 – File Inclusion umožňující přístup k neautorizovaným souborům. |
Critical 9.1 + High 7.1–8.7 | 3–14 | Kritická chyba ochranných mechanismů a více file inclusion / XSS / DoS zranitelností |
Doporučení k nasazení oprav
1. Prioritně aktualizovat Confluence, Jira Software a Jira Service Management kvůli CVSS 9.1.
2. Produkty obsahující RCE (Bamboo, Fisheye/Crucible) aktualizovat nejpozději do 14 dní.
3. Veřejně dostupné instance aktualizovat přednostně.
4. Ověřit kompatibilitu pluginů před upgrade na doporučené LTS verze.
5. Po aktualizaci provést restart clusterů/nodů a kontrolu aplikačních logů.
Zdroj: https://confluence.atlassian.com/security/security-bulletin-may-19-2026-1786839142.html
Sdílejte