Компания Atlassian выпустила внеплановый пакет исправлений для своих корпоративных продуктов Jira Software Data Center и Server. Обновление устраняет сразу девять уязвимостей, три из которых получили критический или высокий рейтинг опасности. Речь идёт о версиях, которые активно используются в крупных организациях по всему миру, причём некоторые уязвимости позволяют атакующему удалённо получить контроль над системой или нарушить её работу.
Детали уязвимостей
Список затронутых версий впечатляет размахом. Проблемы обнаружены в ветках от 9.12 LTS до 11.3 LTS. В частности, под удар попали версии 11.3.0-11.3.4, 10.3.19, 9.12.34 и многие промежуточные сборки. Разработчики уже подготовили исправленные релизы: для Data Center рекомендованы сборки 11.3.5 и 11.3.6, 10.3.20 и 10.3.21, а также версия 9.12.35. Пользователи Server-редакций также должны обновить свои системы до указанных патчей.
Наибольшее внимание привлекает уязвимость CVE-2026-22732, которой эксперты присвоили 9,1 балла по шкале CVSS. Это критическая оценка, хотя сама уязвимость кроется не непосредственно в коде Jira, а в сторонней зависимости - библиотеке Spring Security. Суть проблемы в том, что при определённых настройках HTTP-заголовки безопасности, которые должны автоматически проставляться сервлетными приложениями, попросту не записываются. Иными словами, защитные механизмы, настроенные администратором, могут быть проигнорированы. Для обычного пользователя это звучит как техническая деталь, но на практике такая ошибка открывает злоумышленнику возможность внедрить вредоносный скрипт или перехватить сессию. Важно отметить, что сам вендор Atlassian посчитал риск для своих продуктов более низким, но оценка в 9,1 балла от разработчика библиотеки VMware говорит сама за себя.
Второй по опасности является уязвимость CVE-2026-29062 с рейтингом 8,7 балла. Она связана с библиотекой jackson-core, используемой для разбора JSON-данных. Проблема заключается в том, что парсер, обрабатывающий структурированные данные, игнорирует ограничение на глубину вложенности. Если злоумышленник передаст Jira специально сформированный JSON-документ с чрезмерной вложенностью, это может привести к переполнению стека и, как следствие, к полному отказу в обслуживании. Простыми словами, атака такого типа способна положить сервер Jira, остановив работу всех проектов и задач в компании.
Ещё две уязвимости - CVE-2026-31802 и CVE-2026-29786 - получили по 8,2 балла каждая. Обе связаны с библиотекой node-tar, которая отвечает за работу с tar-архивами. Вредоносный архив, содержащий символические ссылки с обходом корневой директории, позволяет злоумышленнику перезаписывать произвольные файлы на сервере. Такая техника называется "включение файлов". Атакующий может подменить исполняемый скрипт или конфигурационный файл, получив в итоге полный контроль над системой.
Не менее опасна уязвимость CVE-2026-22029, рейтинг которой составил 8 баллов. Она затрагивает библиотеку React Router и позволяет осуществить межсайтовый скриптинг на основе DOM (межсайтовый скриптинг, основанный на манипуляциях с DOM-деревом в браузере). Если жертва перейдёт по специально сформированной ссылке, злоумышленник может выполнить произвольный JavaScript-код в её браузере. Применительно к Jira это означает кражу cookies, подмену данных на страницах задач и несанкционированные действия от имени пользователя.
Оставшиеся четыре уязвимости имеют рейтинг 7,5 балла. Все они ведут к отказу в обслуживании либо к раскрытию конфиденциальной информации. Проблемы обнаружены в компонентах Apache Tomcat (версии 9, 10 и 11), а также в библиотеках axios и brace-expansion. В случае с axios достаточно подсунуть приложению специально созданный конфигурационный объект, чтобы вызвать аварийное завершение процесса. Уязвимость в brace-expansion позволяет зациклить выполнение кода с помощью шаблона вида "{1..2..0}", что приводит к зависанию системы.
Примечательно, что исправление затронуло не только последние версии Jira, но и долгосрочные ветки LTS, а также более старые релизы. Это означает, что даже компании, которые предпочитают консервативную стратегию обновлений, не остались в стороне. Разработчики явно понимают серьёзность ситуации.
В итоге специалистам по информационной безопасности и системным администраторам стоит как можно скорее обновить свои инсталляции Jira до указанных версий. Откладывание патча грозит не только утечкой данных, но и полной остановкой работы системы управления проектами, что для многих компаний означает прямые финансовые потери.
Ссылки
- https://confluence.atlassian.com/security/security-bulletin-may-19-2026-1786839142.html
- https://nvd.nist.gov/vuln/detail/CVE-2026-29129
- https://nvd.nist.gov/vuln/detail/CVE-2026-33750
- https://nvd.nist.gov/vuln/detail/CVE-2026-34483
- https://nvd.nist.gov/vuln/detail/CVE-2026-25639
- https://nvd.nist.gov/vuln/detail/CVE-2026-22029
- https://nvd.nist.gov/vuln/detail/CVE-2026-29786
- https://nvd.nist.gov/vuln/detail/CVE-2026-31802
- https://nvd.nist.gov/vuln/detail/CVE-2026-29062
- https://nvd.nist.gov/vuln/detail/CVE-2026-22732
