Atlassian publikuje poprawki do swoich produktów 05/26 (P26-191)

utworzone przez | maj 21, 2026 | Aktualizacje, Podatności

19 maja 2026 r. firma Atlassian opublikowała ostrzeżenie dotyczące bezpieczeństwa w celu usunięcia luk w zabezpieczeniach, w tym kilku krytycznych, w następujących produktach:

• Bamboo Data Center i Server – wiele wersji

• Bitbucket Data Center i Server – wiele wersji

• Confluence Data Center i Server – wiele wersji

• Fisheye/Crucible – wersje od 4.9.0 do 4.9.9

• Jira Data Center i Server – wiele wersji

• Jira Service Management Data Center i Server – wiele wersji

Luki w zabezpieczeniach zgłoszone w niniejszym Biuletynie Bezpieczeństwa obejmują 39 luk o wysokim stopniu zagrożenia oraz 3 luki o krytycznym stopniu zagrożenia pochodzące od firm trzecich, które zostały naprawione w nowych wersjach naszych produktów wydanych w zeszłym miesiącu.

CVE zgłaszane w comiesięcznych Biuletynach Bezpieczeństwa zostały ocenione jako niestanowiące zagrożenia krytycznego dla klientów Atlassian. Firma Atlassian publikuje krytyczne ostrzeżenia dotyczące bezpieczeństwa w przypadku luk w zabezpieczeniach, które stanowią bezpośrednie, krytyczne ryzyko ze względu na sposób, w jaki nasze produkty faktycznie wykorzystują podatne komponenty poza naszym miesięcznym harmonogramem biuletynów bezpieczeństwa, jeśli jest to konieczne.

ProduktPodatna wersjaPatchLink/OpisNumer CVEKrytyczność
Bamboo Data Center and Server12.1.0 to 12.1.6 (LTS) 12.0.0 to 12.0.2 11.0.0 to 11.0.8 10.2.0 to 10.2.18 (LTS) 10.1.0 to 10.1.1 10.0.0 to 10.0.3 9.6.3 to 9.6.25 (LTS)12.1.7 (LTS) rekomendowane tylko Data Center 10.2.19 (LTS) Tylko Data Center 9.6.26 (LTS) Tylko Data CenterCovert timing channel at org.bouncycastle:bcprov-jdk18on dependency in Bamboo Data CenterCVE-2026-55988.9 Wysoka
RCE (Remote Code Execution) at mchange-commons-java dependency in Bamboo Data CenterCVE-2026-277278.9 Wysoka
Directory Traversal vulnerability at plexus-utils dependency in Bamboo Data CenterCVE-2025-670308.8 Wysoka
DoS (Denial of Service) at jackson-core dependency in Bamboo Data CenterCVE-2026-290628.7 Wysoka
Information Disclosure org.apache.tomcat:tomcat-catalina Dependency in Bamboo Data CenterCVE-2026-344877.5 Wysoka
Injection org.apache.tomcat:tomcat-catalina Dependency in Bamboo Data CenterCVE-2026-344837.5 Wysoka
Security Misconfiguration vulnerability at Tomcat dependency in Bamboo Data CenterCVE-2026-291297.5 Wysoka
DoS (Denial of Service) at org.apache.activemq dependency in Bamboo Data CenterCVE-2026-393047.5 Wysoka
Bitbucket Data Center and Server10.2.0 to 10.2.1 (LTS) 10.1.1 to 10.1.5 10.0.0 to 10.0.2 9.6.0 to 9.6.5 9.5.0 to 9.5.2 9.4.0 to 9.4.18 (LTS) 9.3.0 to 9.3.2 9.2.0 to 9.2.1 9.1.0 to 9.1.1 9.0.1 8.19.4 to 8.19.29 (LTS)10.2.2 to 10.2.3 (LTS) rekomendowane tylko Data Center 9.4.19 to 9.4.20 (LTS) Tylko Data CenterDoS (Denial of Service) in Bitbucket Data CenterCVE-2026-337507.5 Wysoka
XSS (Cross Site Scripting) dompurify Dependency in Bitbucket Data CenterCVE-2024-458017.3 Wysoka
Confluence Data Center and Server10.2.0 to 10.2.10 (LTS) 10.1.0 to 10.1.2 10.0.2 to 10.0.3 9.5.1 to 9.5.4 9.4.0 to 9.4.1 9.3.1 to 9.3.2 9.2.0 to 9.2.19 (LTS) 9.1.0 to 9.1.1 9.0.1 to 9.0.3 8.9.2 to 8.9.810.2.11 (LTS) rekomendowane tylko Data Center 9.2.20 (LTS) Tylko Data CenterBASM (Broken Authentication & Session Management) in Confluence Data CenterCVE-2026-291459.1 Krytyczna
DoS (Denial of Service) in Confluence Data CenterCVE-2026-290628.7 Wysoka
Information Disclosure in Confluence Data CenterCVE-2026-344877.5 Wysoka
Information Disclosure in Confluence Data CenterCVE-2026-291467.5 Wysoka
HTTP Request/Response Smuggling Apache Tomcat Dependency in Confluence Data CenterCVE-2026-248807.5 Wysoka
Improper Encoding org.apache.tomcat:tomcat-catalina Dependency in Confluence Data CenterCVE-2026-344837.5 Wysoka
DoS (Denial of Service) in Confluence Data CenterCVE-2026-337507.5 Wysoka
Injection in Confluence Data CenterCVE-2026-247347.5 Wysoka
Fisheye/Crucible4.9.0 to 4.9.94.9.10 rekomendowaneRCE (Remote Code Execution) at c3p0 dependency in Crucible ServerCVE-2026-278308.9 Wysoka
RCE (Remote Code Execution) at mchange-commons-java dependency in Crucible ServerCVE-2026-277278.9 Wysoka
Covert timing channel vulnerability at Bouncy Castle dependency at Crucible ServerCVE-2026-55988.9 Wysoka
RCE (Remote Code Execution) at com.fasterxml.jackson.core:jackson-core dependency in Crucible ServerCVE-2025-529998.7 Wysoka
DoS (Denial of Service) at postgresql dependency in Crucible ServerCVE-2026-421987.5 Wysoka
DoS (Denial of Service) at commons-fileupload dependency in Crucible ServerCVE-2023-249987.5 Wysoka
Jira Data Center and Server11.3.0 to 11.3.4 (LTS) 11.2.0 to 11.2.1 11.1.0 to 11.1.1 11.0.0 to 11.0.1 10.7.1 to 10.7.4 10.6.0 to 10.6.1 10.5.0 to 10.5.1 10.4.0 to 10.4.1 10.3.0 to 10.3.19 (LTS) 10.2.0 to 10.2.1 10.1.1 to 10.1.2 10.0.0 to 10.0.1 9.17.0 to 9.17.5 9.16.0 to 9.16.1 9.12.32 to 9.12.34 (LTS)11.3.5 to 11.3.6 (LTS) rekomendowane tylko Data Center 10.3.20 to 10.3.21 (LTS) Tylko Data Center 9.12.35 (LTS)Security Headers Omission in Jira Software Data CenterCVE-2026-227329.1 Krytyczna
DoS (Denial of Service) in Jira Software Data CenterCVE-2026-290628.7 Wysoka
File Inclusion in Jira Software Data CenterCVE-2026-318028.2 Wysoka
File Inclusion in Jira Software Data CenterCVE-2026-297868.2 Wysoka
DOM-based XSS in Jira Software Data CenterCVE-2026-220298 Wysoka
DoS (Denial of Service) in Jira Software Data CenterCVE-2026-256397.5 Wysoka
Improper Encoding org.apache.tomcat:tomcat-catalina Dependency in Jira Software Data CenterCVE-2026-344837.5 Wysoka
DoS (Denial of Service) in Jira Software Data CenterCVE-2026-337507.5 Wysoka
Security Misconfiguration in Jira Software Data CenterCVE-2026-291297.5 Wysoka
Jira Service Management Data Center and Server11.3.0 to 11.3.4 (LTS) 11.2.0 to 11.2.1 11.1.0 to 11.1.1 11.0.0 to 11.0.1 10.7.1 to 10.7.4 10.6.0 to 10.6.1 10.5.0 to 10.5.1 10.4.0 to 10.4.1 10.3.0 to 10.3.19 (LTS) 10.2.0 to 10.2.1 10.1.1 to 10.1.2 10.0.0 to 10.0.1 5.17.0 to 5.17.5 5.16.0 to 5.16.111.3.5 to 11.3.6 (LTS) rekomendowane tylko Data Center 10.3.20 to 10.3.21 (LTS) Tylko Data CenterSecurity Headers Omission in Jira Service Management Data CenterCVE-2026-227329.1 Krytyczna
DoS (Denial of Service) in Jira Service Management Data CenterCVE-2026-290628.7 Wysoka
File Inclusion in Jira Service Management Data CenterCVE-2026-318028.2 Wysoka
File Inclusion in Jira Service Management Data CenterCVE-2026-297868.2 Wysoka
DOM-based XSS in Jira Service Management Data CenterCVE-2026-220298 Wysoka
DoS (Denial of Service) in Jira Service Management Data CenterCVE-2026-256397.5 Wysoka
DoS (Denial of Service) in Jira Service Management Data CenterCVE-2026-337507.5 Wysoka
Improper Encoding org.apache.tomcat:tomcat-catalina Dependency in Jira Service Management Data CenterCVE-2026-344837.5 Wysoka
File Inclusion in Jira Service Management Data CenterCVE-2026-269607.1 Wysoka