Atlassian устранила критические уязвимости в своих корпоративных продуктах

Компания Atlassian выпустила масштабный набор обновлений безопасности для своих ключевых корпоративных продуктов. Согласно январскому бюллетеню безопасности за 2026 год, исправления закрывают десятки уязвимостей, включая две критические. Проблемы затрагивают такие широко используемые платформы, как Jira, Confluence, Bitbucket, Bamboo и Crowd. Эксперты настоятельно рекомендуют администраторам немедленно установить патчи.

Детали уязвимостей

Основную угрозу представляли уязвимости в сторонних компонентах, интегрированных в продукты Atlassian. Среди исправленных проблем фигурируют различные классы уязвимостей. Например, некорректная обработка входных данных, проблемы с авторизацией и аутентификацией, а также уязвимости, ведущие к отказу в обслуживании (DoS, Denial of Service). Особое внимание привлекают уязвимости типа Server-Side Request Forgery (SSRF, подделка межсайтовых запросов) и XML External Entity Injection (XXE, внедрение внешних XML-сущностей). Последние позволяют злоумышленникам читать локальные файлы на сервере.

Наиболее серьезные угрозы были нейтрализованы в Confluence Data Center and Server. Уязвимость CVE-2025-66516, имеющая максимальный балл риска CVSS 10.0, была классифицирована как критическая. Она связана с компонентом обработки XML. Аналогично, в Bamboo Data Center была устранена критическая уязвимость CVE-2025-12383 с рейтингом 9.4, возникающая из-за состояния гонки (race condition) в библиотеке jersey-client.

Другие продукты также получили важные исправления. В Bitbucket были закрыты несколько уязвимостей, приводящих к DoS и удаленному выполнению кода (RCE, Remote Code Execution) через компоненты Apache Tomcat. В Jira Software и Jira Service Management исправлены уязвимости, которые могли привести к атакам типа "отказ в обслуживании" через различные зависимости, включая библиотеки qs и ansi-regex. Кроме того, в нескольких продуктах была устранена проблема типа Improperly Controlled Modification of Object Prototype Attributes, также известная как "загрязнение прототипа" (Prototype Pollution).

Важно отметить, что многие из этих уязвимостей были унаследованы от библиотек промежуточного ПО Oracle, таких как WebLogic Server и Oracle Utilities Application Framework. Соответствующие исправления были включены Atlassian в свои обновления после январского критического патча Oracle. Поставщик обнаружил проблемы благодаря собственной программе Bug Bounty, внутреннему тестированию на проникновение и регулярному сканированию сторонних библиотек.

Компания Atlassian подчеркивает, что, несмотря на высокие базовые оценки CVSS, реальный риск для клиентов в конкретной конфигурации ее продуктов был оценен как не критический. Однако это не отменяет необходимости скорейшего применения обновлений. Для полного устранения угроз администраторам необходимо обновить свои инстансы до последних версий или рекомендованных фиксированных сборок, указанных в бюллетене. Например, для Confluence Data Center рекомендована версия 10.2.2, а для Jira Software Data Center - 11.3.1.

Корпоративные пользователи, особенно те, кто использует устаревшие или неподдерживаемые версии программного обеспечения, находятся в зоне повышенного риска. Задержка с установкой обновлений может сделать системы уязвимыми для атак, цель которых - нарушение доступности сервисов или хищение конфиденциальных данных. Регулярное и своевременное обновление корпоративного ПО остается фундаментальной практикой кибергигиены.

Детали уязвимостей

Ссылки