Atlassian, GitLab i Zoom łatają krytyczne luki: XXE, command injection i obejście 2FA (styczeń 2026)

Wprowadzenie do problemu / definicja luki

W trzecim tygodniu stycznia 2026 trzy duże ekosystemy używane masowo w firmach — Atlassian (Data Center/Server), GitLab (self-managed) oraz Zoom (Zoom Node) — opublikowały poprawki bezpieczeństwa adresujące podatności o wysokiej i krytycznej wadze. W praktyce to miks typowych klas błędów „enterprise security”: XXE, command injection prowadzący do RCE oraz błędy logiki/obsługi żądań kończące się DoS lub obejściem 2FA.

W skrócie

• Atlassian: biuletyn z 2 krytycznymi i 30 wysokimi podatnościami (głównie w zależnościach), dotyczący m.in. Bamboo i Confluence Data Center/Server; Atlassian podkreśla, iż w ich zastosowaniu ryzyko oceniono jako „non-critical”.
• GitLab: wydania 18.8.2 / 18.7.2 / 18.6.4 z poprawkami m.in. dla CVE-2025-13927, CVE-2025-13928 (DoS) i CVE-2026-0723 (obejście 2FA w określonym scenariuszu).
• Zoom: krytyczna podatność command injection w Zoom Node MMR przed 5.2.1716.0, oznaczona jako CVE-2026-22844 (CVSS 9.9), umożliwiająca zdalne wykonanie kodu przez uczestnika spotkania.

Kontekst / historia / powiązania

To dobry przykład, jak „miesięczne” lub „cykliczne” praktyki łatania (security bulletins / patch releases) realnie wpływają na bezpieczeństwo środowisk produkcyjnych:

• Atlassian w biuletynie miesięcznym agreguje CVE, często związane z bibliotekami third-party (supply chain na poziomie zależności), a jednocześnie komunikuje kontekst użycia komponentu w ich produktach i wynikową ocenę ryzyka.
• GitLab utrzymuje stały rytm patchy i publikuje szczegóły CVE wraz z zakresami wersji podatnych oraz zalecaną akcją („upgrade ASAP”).
• Zoom w swoich biuletynach dla infrastruktury (Zoom Node) wskazuje jasno: produkt, zakres wersji, CVSS i wektor, a także minimalną wersję naprawioną.

Analiza techniczna / szczegóły luk

1) Atlassian: krytyczne CVE w Bamboo i Confluence + XXE w Crowd

W biuletynie Atlassian z 20 stycznia 2026 wskazano, iż zawiera on 2 podatności krytyczne oraz 30 wysokich, naprawionych w wydaniach z ostatniego miesiąca.

• CVE-2025-12383 (Bamboo): sklasyfikowane jako Critical (9.4), dotyczy zależności używanej przez Bamboo; Atlassian dodaje, iż ich użycie komponentu oznacza „lower, non-critical assessed risk”.
• CVE-2025-66516 (Confluence Data Center/Server): Critical (10.0), również w zależności (non-Atlassian dependency) z analogiczną adnotacją o ocenie ryzyka w ich implementacji.
• CVE-2026-21569 (Crowd DC/Server): błąd typu XXE, oceniony jako High (7.9). XXE zwykle oznacza ryzyko nieautoryzowanego odczytu zasobów, SSRF lub „pivot” do dalszej eksploracji — zależnie od konfiguracji parsera XML i dostępu sieciowego/plikowego.

Warto zwrócić uwagę na komunikat Atlassian: miesięczne CVE są oceniane jako „non-critical risk” (z punktu widzenia realnego użycia komponentów w ich produktach), a krytyczne, „natychmiastowe” ryzyka mają osobną ścieżkę Critical Security Advisories.

2) GitLab: DoS + obejście 2FA (WebAuthn/urządzenia) w self-managed

W wydaniu patch z 21 stycznia 2026 GitLab opublikował szczegóły kilku CVE oraz zakresy wersji podatnych:

• CVE-2025-13927: DoS możliwy dla nieautoryzowanego użytkownika przez wysyłanie spreparowanych żądań z „malformed authentication data”; dotyczy wersji od 11.9 do przed 18.6.4/18.7.2/18.8.2 (w zależności od gałęzi).
• CVE-2025-13928: DoS poprzez niepoprawną walidację autoryzacji w endpointach API (również scenariusz unauth DoS).
• CVE-2026-0723: błąd w usługach uwierzytelniania, który może umożliwić obejście 2FA, jeżeli atakujący ma „existing knowledge of a victim’s credential ID” i potrafi dostarczyć sfałszowane odpowiedzi urządzenia.

To nie jest „magiczne wyłączenie 2FA jednym requestem” dla wszystkich przypadku, ale przez cały czas jest to klasa błędu, której nie chcesz w systemie SCM/CI — bo GitLab jest często centralnym punktem tożsamości, tokenów i sekretów pipeline’ów.

3) Zoom: CVE-2026-22844 — command injection → RCE w Zoom Node MMR

Zoom opublikował biuletyn ZSB-26001 (data: 20 stycznia 2026) dla Zoom Node Deployments. Podatność:

• CVE-2026-22844, Critical, CVSS 9.9, wektor m.in. AV:N (sieć) i wpływ na C/I/A.
• Opis: command injection w Zoom Node Multimedia Routers (MMRs) przed wersją 5.2.1716.0, umożliwiający uczestnikowi spotkania zdalne wykonanie kodu na MMR „via network access”.
• Dotyczy modułów: Zoom Node Meetings Hybrid (ZMH) MMR oraz Zoom Node Meeting Connector (MC) MMR < 5.2.1716.0.

Jeśli Twoja organizacja utrzymuje Zoom Node w sieci (szczególnie w hybrydowych wdrożeniach), to jest typ „patch now”, bo łączy: łatwą ścieżkę wejścia (uczestnik spotkania) + RCE na infrastrukturze routującej multimedia.

Praktyczne konsekwencje / ryzyko

Najbardziej ryzykowny wektor w tym pakiecie to Zoom Node MMR: z perspektywy atakującego atrakcyjne jest RCE na komponencie infrastrukturalnym, potencjalnie z dostępem do sieci wewnętrznej i ścieżek administracyjnych (zależnie od segmentacji).

Dla Atlassian i GitLab ryzyko często wynika z tego, że:

• są to systemy internet-facing (portale, wiki, Jira, GitLab),
• przechowują dane wrażliwe (projekty, dokumentację, artefakty CI/CD, sekrety),
• a podatności typu XXE/DoS/obejście 2FA mogą stać się etapem w łańcuchu ataku (rekonesans → dostęp → eskalacja → utrwalenie).

Rekomendacje operacyjne / co zrobić teraz

Priorytet 0–24h (pilne)

1. Zoom Node: zidentyfikuj wszystkie wdrożenia ZMH/MC i podnieś MMR do ≥ 5.2.1716.0 (CVE-2026-22844).
2. GitLab self-managed: zaktualizuj do 18.8.2 / 18.7.2 / 18.6.4 (w zależności od wspieranej gałęzi).
3. Atlassian DC/Server: sprawdź wersje Bamboo/Confluence/Crowd/Jira/Bitbucket i zaktualizuj do wersji „Fixed” wskazanych w biuletynie (zwróć uwagę, iż „fixed versions” są „as of 20 Jan 2026”).

Priorytet 24–72h (twardnienie i detekcja)

• Segmentacja i ekspozycja: ogranicz dostęp do paneli administracyjnych (VPN/SSO/ACL), wyłącz nieużywane interfejsy, rozważ reverse proxy/WAF dla endpointów publicznych.
• Monitoring:
  • GitLab: alerty na anomalie logowań 2FA/WebAuthn, nietypowe błędy auth, skoki 4xx/5xx na API (symptomy DoS).
  • Atlassian/Crowd: wykrywaj nietypowe payloady XML, błędy parsera, podwyższony wolumen żądań do endpointów przetwarzających XML (tam, gdzie ma to zastosowanie).
  • Zoom Node: telemetria systemowa MMR, alerty EDR/NDR na nietypowe procesy/połączenia wychodzące po spotkaniach.
• Higiena sekretów: jeżeli masz podejrzenie kompromitacji (szczególnie GitLab), rotuj tokeny runnerów, PAT, deploy keys i sekrety CI.

Różnice / porównania z innymi przypadkami

• Atlassian: duży wolumen CVE często dotyczy zależności — kluczowa jest praktyka „dependency governance” (SBOM, SCA, szybkie LTS-upgrade’y).
• GitLab: nacisk na szybkie patchowanie self-managed + publikacja technicznych warunków podatności (np. przy 2FA bypass wymagany jest specyficzny warunek wejściowy).
• Zoom Node: klasyczny „infrastructure RCE” z wysokim CVSS — mniej „aplikacyjnie”, bardziej „urządzeniowo/usługowo”, zwykle z większym wpływem na sieć.

Podsumowanie / najważniejsze wnioski

• Najwyższy priorytet: Zoom Node MMR (CVE-2026-22844, CVSS 9.9) — aktualizacja do 5.2.1716.0 lub nowszej.
• GitLab: pilne aktualizacje patch (18.8.2/18.7.2/18.6.4) ze względu na DoS i scenariusz obejścia 2FA.
• Atlassian DC/Server: choćby jeżeli vendor ocenia miesięczne CVE jako „non-critical risk”, to operacyjnie przez cały czas warto traktować je jako „patch window ASAP”, bo produkty te bywają mocno eksponowane i krytyczne dla procesu wytwarzania oprogramowania.

Źródła / bibliografia

1. SecurityWeek — „Atlassian, GitLab, Zoom Release Security Patches” (22 stycznia 2026). (SecurityWeek)
2. Atlassian — „Security Bulletin – January 20 2026”. (confluence.atlassian.com)
3. GitLab — „Patch Release: 18.8.2, 18.7.2, 18.6.4” (21 stycznia 2026). (about.gitlab.com)
4. Zoom — „ZSB-26001: Zoom Node Deployments – Command Injection” (20 stycznia 2026). (Zoom)