[TLP:CLEAR] Atlassian opravuje 45 zraniteľností v rôznych produktoch
Atlassian opravuje 45 zraniteľností v rôznych produktoch. Prítomné kritické zraniteľnosti tretích strán vyhodnotil Atlassian vzhľadom na spôsob ich implementácie v produktoch ako nekritické. Najzávažnejšie zraniteľnosti sú popísané nižšie, zvyšné nájdete na [1] po rozkliknutí jednotlivých varovaní. Opravené verzie nájdete v odkazoch pri jednotlivých zraniteľnostiach.
Neautentizovanému vzdialenému útočníkovi je kvôli možnosti zasielania podvrhnutých požiadaviek na strane servera v produktoch Bamboo Data Center umožnené získať prístup k obsahu internej siete a cloudovým metadátam [2].
Zraniteľnosť sa nachádza v produkte Bamboo Data Center vo verziách (>=10.0.0 AND <10.2.20) OR (>=11.0.0 AND <12.1.8).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N
Viac informácií:
- CVE-2026-44492 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-918: Server-Side Request Forgery (SSRF) at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 11. 6. 2026.
Neautentizovanému vzdialenému útočníkovi je kvôli chybnému manažmentu sieťových zdrojov v produkte Confluence Data Center umožnené spôsobiť DoS útok [3].
Zraniteľnosť sa nachádza v produkte Confluence Data Center vo verziách (>=8.9.0 AND <9.2.21) OR (>=10.0.0 AND <10.2.10).
CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N
Viac informácií:
- CVE-2026-26996 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-1333: Inefficient Regular Expression Complexity at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 19. 2. 2026.
Neautentizovanému vzdialenému útočníkovi je kvôli chybe v zabezpečení prístupu k dátam v produkte Bamboo Data Center umožnené získať citlivé informácie [4].
Zraniteľnosť sa nachádza v produkte Bamboo Data Center vo verziách (>=10.0.0 AND <10.2.20) OR (>=11.0.0 AND <12.1.8).
CVSS: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N
Viac informácií:
- CVE-2026-44487 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-201: Insertion of Sensitive Information Into Sent Data at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 11. 6. 2026.
Neautentizovanému vzdialenému útočníkovi je kvôli nebezpečnej deserializácii dát v knižnici react-router (režim Framework Mode) použitej v produktoch Jira Software Data Center a Jira Service Management Data Center umožnené spustiť ľubovoľný kód na serveri [5].
Zraniteľnosť sa nachádza v produktoch:
- Jira Software Data Center vo verziách (>=10.3.8 AND <10.3.14) OR (>=10.7.1 AND <=11.1.0)
- Jira Service Management Data Center vo verziách (>=10.3.8 AND <10.3.14) OR (>=10.7.1 AND <=11.1.0)
CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2026-42211 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-502: Deserialization of Untrusted Data at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 2. 6. 2026.
Odkazy
Za CESNET-CERTS Henrieta Paločková dňa 22. 6. 2026.
