[TLP:CLEAR] Atlassian opravuje 15 zranitelností v různých produktech
Atlassian opravuje 15 zranitelností v různých produktech. Nejzávažnější zranitelnosti jsou popsány níže, zbylé naleznete na [1] po rozkliknutí jednotlivých varování. Opravené verze naleznete v odkazech u jednotlivých zranitelností.
Neautentizovanému vzdálenému útočníkovi je kvůli zranitelnosti typu path traversal v produktech Jira Software Data Center a Jira Service Management Data Center při zpracování podvrženého tar archivu umožněno po interakci uživatele přepsat soubory v souborovém systému [2][3].
Zranitelnost se nachází v produktu Jira Software Data Center ve verzích (>=11.3.0 AND <11.3.3) OR (>=10.3.0 AND <10.3.18).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:H/A:L
Více informací:
- CVE-2026-23950 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-35: Path Traversal: '.../...//' at cwe.mitre.org
Zranitelnost byla veřejně oznámena 17. 3. 2026.
Autentizovanému vzdálenému útočníkovi je v produktu Bamboo Data Center umožněno spustit libovolný kód na vzdáleném systému [4].
Zranitelnost se nachází v produktu Bamboo Data Center ve verzích (>=9.6 AND <9.6.24) OR (>=10.2 AND <10.2.16) OR (>=12.1 AND <12.1.3).
CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Více informací:
- CVE-2026-21570 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-94: Improper Control of Generation of Code ('Code Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 18. 2. 2026.
Neautentizovanému vzdálenému útočníkovi je kvůli DOM-based XSS zranitelnosti v produktu Crowd Data Center umožněno po interakci uživatele spustit v prohlížeči oběti libovolný HTML nebo JavaScript kód [5].
Zranitelnost se nachází v produktu Crowd Data Center ve verzích >=7.1 AND <7.1.5.
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N
Více informací:
- CVE-2026-21884 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 3. 3. 2026.
Lokálnímu útočníkovi je v produktech Jira Software Data Center a Jira Service Management Data Center umožněno po interakci uživatele zobrazit obsah lokálního souboru nebo spustit jiný soubor již uložený na serveru [6][7].
Zranitelnost se nachází v produktech:
- Jira Software Data Center ve verzích (>=10.3 AND <10.3.18) OR (>=11.3 AND <11.3.3)
- Jira Service Management Data Center ve verzích (>=10.3 AND <10.3.18) OR (>=11.3 AND <11.3.3)
CVSS: CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:L/VA:N/SC:H/SI:L/SA:N
Více informací:
- CVE-2026-23745 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 6. 3. 2026.
Odkazy
- [1] https://confluence.atlassian.com/security/security-bulletin-march-17-2026-1721271371.html
- [2] https://jira.atlassian.com/browse/JSWSERVER-26736
- [3] https://jira.atlassian.com/browse/JSDSERVER-16530
- [4] https://jira.atlassian.com/browse/BAM-26342
- [5] https://jira.atlassian.com/browse/CWD-6498
- [6] https://jira.atlassian.com/browse/JSWSERVER-26732
- [7] https://jira.atlassian.com/browse/JSDSERVER-16528
Za CESNET-CERTS Michaela Jarošová dne 24. 3. 2026.
