Atlassian publikuje poprawki do swoich produktów 10/25 (P25-418)

cert.pse-online.pl 1 dzień temu

18 listopada 2025 r. firma Atlassian opublikowała ostrzeżenie dotyczące bezpieczeństwa w celu usunięcia luk w następujących produktach:

Confluence Data Center i serwer – wiele wersji
BitBucket Data Center i serwery – wiele wersji
Jira Data Center i serwer – wiele wersji
Jira Service Management Data Center i serwer – wiele wersji

Luki w zabezpieczeniach zgłoszone w niniejszym Biuletynie Bezpieczeństwa obejmują 34 luki o wysokim stopniu zagrożenia i 5 luk o stopniu zagrożenia krytycznego, które zostały naprawione w nowych wersjach naszych produktów, wydanych w zeszłym miesiącu.


Produkt	Wersja Podatna	Patch	Opis	CVE ID	CVSS Krytyczność
Bitbucket Data Center and Server	10.0.0 do 10.0.1 9.6.0 do 9.6.5 9.5.0 do 9.5.2 9.4.0 do 9.4.11 (LTS) 9.2.0 do 9.2.1 9.1.0 do 9.1.1 9.0.1 8.19.0 do 8.19.24 (LTS) 8.18.0 do 8.18.1 8.17.0 do 8.17.2 8.16.0 do 8.16.4 8.15.2 do 8.15.5 8.14.3 do 8.14.6 8.13.4 do 8.13.6 8.12.5 do 8.12.6 8.9.8 do 8.9.27 (LTS)	10.0.2 tylko Data Center 8.19.25 (LTS) tylko Data Center 9.4.13 (LTS) rekomedowany dla Data Center	RCE (Remote Code Execution) Third-Party Dependency in Bitbucket Data Center and Server – CVE-2024-38999 Jest to luka w zabezpieczeniach zależności Bitbucket innej niż Atlassian. Zastosowanie tej zależności przez Atlassian wiąże się z niższym, niekrytycznym ryzykiem.	CVE-2024-38999	10 Krytyczna
			RCE (Remote Code Execution) Third-Party Dependency in Bitbucket Data Center and Server – CVE-2016-1000027 Jest to luka w zabezpieczeniach zależności Bitbucket innej niż Atlassian. Zastosowanie tej zależności przez Atlassian wiąże się z niższym, niekrytycznym ryzykiem.	CVE-2016-1000027	9.8 Krytyczna
			SSRF (Server-Side Request Forgery) Third-Party Dependency in Bitbucket Data Center and Server – CVE-2023-42282 Jest to luka w zabezpieczeniach zależności Bitbucket innej niż Atlassian. Zastosowanie tej zależności przez Atlassian wiąże się z niższym, niekrytycznym ryzykiem.	CVE-2023-42282	9.8 Krytyczna
			RCE (Remote Code Execution) Third-Party Dependency in Bitbucket Data Center and Server – CVE-2023-45133 Jest to luka w zabezpieczeniach zależności Bitbucket innej niż Atlassian. Zastosowanie tej zależności przez Atlassian wiąże się z niższym, niekrytycznym ryzykiem.	CVE-2023-45133	9.3 Krytyczna
			Improper Authorization Third-Party Dependency in Bitbucket Data Center and Server – CVE-2025-48734	CVE-2025-48734	8.8 Wysoka
			DoS (Denial of Service) Third-Party Dependency in Bitbucket Data Center and Server – CVE-2025-55163	CVE-2025-55163	8.2 Wysoka
			DoS (Denial of Service) Third-Party Dependency in Bitbucket Data Center and Server – CVE-2024-25710	CVE-2024-25710	8.1 Wysoka
			SSRF (Server-Side Request Forgery) Third-Party Dependency in Bitbucket Data Center and Server – CVE-2024-29415	CVE-2024-29415	8.1 Wysoka
			SSRF (Server-Side Request Forgery) Third-Party Dependency in Bitbucket Data Center and Server – CVE-2024-22259	CVE-2024-22259	8.1 Wysoka
			DoS (Denial of Service) Third-Party Dependency in Bitbucket Data Center and Server – CVE-2024-21538	CVE-2024-21538	7.7 Wysoka
			DoS (Denial of Service) Third-Party Dependency in Bitbucket Data Center and Server – CVE-2023-52428	CVE-2023-52428	7.5 Wysoka
			DoS (Denial of Service) Third-Party Dependency in Bitbucket Data Center and Server – CVE-2024-45590	CVE-2024-45590	7.5 Wysoka
			DoS (Denial of Service) Third-Party Dependency in Bitbucket Data Center and Server – CVE-2021-3803	CVE-2021-3803	7.5 Wysoka
			DoS (Denial of Service) Third-Party Dependency in Bitbucket Data Center and Server – CVE-2022-31129	CVE-2022-31129	7.5 Wysoka
			DoS (Denial of Service) Third-Party Dependency in Bitbucket Data Center and Server – CVE-2021-3807	CVE-2021-3807	7.5 Wysoka
			DoS (Denial of Service) Third-Party Dependency in Bitbucket Data Center and Server – CVE-2024-4068	CVE-2024-4068	7.5 Wysoka
			Path Traversal Third-Party Dependency in Bitbucket Data Center and Server – CVE-2022-24785	CVE-2022-24785	7.5 Wysoka
			DoS (Denial of Service) Third-Party Dependency in Bitbucket Data Center and Server – CVE-2021-33587	CVE-2021-33587	7.5 Wysoka
			Improper Authorization Third-Party Dependency in Bitbucket Data Center and Server – CVE-2025-41248	CVE-2025-41248	7.5 Wysoka
			Cryptographic Failure Third-Party Dependency in Bitbucket Data Center and Server – CVE-2022-24772	CVE-2022-24772	7.5 Wysoka
			Path Traversal Third-Party Dependency in Bitbucket Data Center and Server – CVE-2024-38819	CVE-2024-38819	7.5 Wysoka
			Cryptographic Failure Third-Party Dependency in Bitbucket Data Center and Server – CVE-2022-24771	CVE-2022-24771	7.5 Wysoka
			Broken Authentication Third-Party Dependency in Bitbucket Data Center and Server – CVE-2025-22228	CVE-2025-22228	7.4 Wysoka
			Prototype Pollution Third-Party Dependency in Bitbucket Data Center and Server – CVE-2020-8203	CVE-2020-8203	7.4 Wysoka
			Prototype Pollution Third-Party Dependency in Bitbucket Data Center and Server – CVE-2020-28471	CVE-2020-28471	7.3 Wysoka
			Improper Authorization Third-Party Dependency in Bitbucket Data Center and Server – CVE-2025-22235	CVE-2025-22235	7.3 Wysoka
			Open Redirect Third-Party Dependency in Bitbucket Data Center and Server – CVE-2023-26159	CVE-2023-26159	7.3 Wysoka
			Command Injection Third-Party Dependency in Bitbucket Data Center and Server – CVE-2021-23337	CVE-2021-23337	7.2 Wysoka
			Prototype Pollution Third-Party Dependency in Bitbucket Data Center and Server – CVE-2022-46175	CVE-2022-46175	7.1 Wysoka
Confluence Data Center and Server	10.1.0 9.5.1 do 9.5.4 9.4.0 do 9.4.1 9.3.1 do 9.3.2 9.2.0 do 9.2.6 (LTS) 9.1.0 do 9.1.1 9.0.1 do 9.0.3 8.9.0 do 8.9.8 8.8.0 do 8.8.1 8.7.1 do 8.7.2 8.6.2 8.5.0 do 8.5.24 (LTS) 7.19.17 do 7.19.30 (LTS)	10.1.1 tylko Data Center 10.0.2 do 10.0.3 tylko Data Center 9.2.7 do 9.2.10 (LTS) rekomendowany dla Data Center 8.5.25 do 8.5.28 (LTS) Data Center	SSRF (Server-Side Request Forgery) Third-Party Dependency in Confluence Data Center and Server – CVE-2023-42282 Jest to luka w zabezpieczeniach zależności Confluence innej niż Atlassian. Zastosowanie tej zależności przez Atlassian wiąże się z niższym, niekrytycznym ryzykiem.	CVE-2023-42282	9.8 Krytyczna
			Path Traversal Third-Party Dependency in Confluence Data Center and Server – CVE-2023-42282	CVE-2025-48387	8.7 Wysoka
			DoS (Denial of Service) Third-Party Dependency in Confluence Data Center and Server – CVE-2025-22166	CVE-2025-22166	8.3 Wysoka
			DoS (Denial of Service) Third-Party Dependency in Confluence Data Center and Server – CVE-2024-37890	CVE-2024-37890	7.5 Wysoka
			DoS (Denial of Service) Third-Party Dependency in Confluence Data Center and Server – CVE-2023-42282	CVE-2022-38900	7.5 Wysoka
			Improper Authorization Third-Party Dependency in Confluence Data Center and Server – CVE-2025-41248	CVE-2025-41248	7.5 Wysoka
			DoS (Denial of Service) Third-Party Dependency in Confluence Data Center and Server – CVE-2024-45296	CVE-2024-45296	7.5 Wysoka
			Prototype Pollution Third-Party Dependency in Confluence Data Center and Server – CVE-2022-46175	CVE-2022-46175	7.1 Wysoka
Jira Data Center and Server	11.1.0 do 11.1.1 11.0.0 do 11.0.1 10.7.1 do 10.7.2 10.6.0 do 10.6.1 10.5.0 do 10.5.1 10.4.0 do 10.4.1 10.3.0 do 10.3.9 (LTS) 10.2.0 do 10.2.1 10.1.1 do 10.1.2 10.0.0 do 10.0.1 9.17.0 do 9.17.5 9.16.0 do 9.16.1 9.15.2 9.14.0 do 9.14.1 9.13.0 do 9.13.1 9.12.0 do 9.12.25 (LTS)	11.2.0 tylko dla Data Center 10.7.3 do10.7.4 tylko Data Center 10.3.10 do 10.3.13 (LTS) rekomendowany dla Data Center 9.12.26 do 9.12.29 (LTS)	DoS (Denial of Service) Third-Party Dependency in Jira Software Data Center and Server	CVE-2025-48976	7.5 Wysoka
Jira Service Management Data Center and Server	11.1.0 do 11.1.1 11.0.0 do 11.0.1 10.7.1 do 10.7.2 10.6.0 do 10.6.1 10.5.0 do 10.5.1 10.4.0 do 10.4.1 10.3.0 do 10.3.9 (LTS) 10.2.0 do 10.2.1 10.1.1 do 10.1.2 10.0.0 do 10.0.1 5.12.0 do 5.12.25 (LTS)	11.2.0tylko Data Center 10.7.3 do 10.7.4 tylko Data Center 10.3.10 do 10.3.13 (LTS) rekomedowany tylko dla Data Center 5.12.26 do 5.12.29 (LTS)	DoS (Denial of Service) Third-Party Dependency in Jira Service Management Data Center and Server	CVE-2025-48976	7.5 Wysoka