【Linktech 資安神隊友】Atlassian 2026 年 4 月安全公告
- Linktech
- 14分钟前
- 讀畢需時 7 分鐘
|Atlassian 2026 年 4 月安全公告摘要
Atlassian 於 2026 年 4 月 21 日發布 2026 年 4 月安全公告,本月共揭露 31 個 High 高危漏洞與 7 個 Critical 嚴重等級之第三方套件漏洞,合計 38 個漏洞,影響範圍涵蓋 Bamboo、Bitbucket、Confluence、Jira 軟體 及 Jira 服務管理 等 5 項主力產品。
漏洞主要透過 Bug Bounty 計畫、滲透測試流程及第三方套件掃描發現。本月需特別注意 Jira 與 Jira Service Management 中的 dompurify mXSS 漏洞(CVE-2024-47875,CVSS 10.0),以及 Bamboo 資料中心原生的作業系統命令注入漏洞(CVE-2026-21571,CVSS 9.4);Confluence 亦再次出現多個 node-tar 套件造成的路徑穿越與檔案包含風險。
建議各組織立即評估受影響版本,並依本報告建議優先升級至最新 LTS 版本
📊 四月漏洞統計總覽
受影響產品 | Critical 漏洞數 | High 漏洞數 | 小計 |
Bamboo Data Center and Server | 1 | 6 | 7 |
Bitbucket Data Center and Server | 0 | 1 | 1 |
Confluence Data Center and Server | 1 | 14 | 15 |
Jira Data Center and Server | 3 | 4 | 7 |
Jira Service Management Data Center and Server | 3 | 5 | 8 |
合計 | 8 | 30 | 38 |
|Bamboo Data Center and Server
受影響版本
• 12.1.0 至 12.1.3 (LTS)
• 12.0.0 至 12.0.2
• 11.0.0 至 11.0.8
• 10.2.0 至 10.2.16 (LTS)
• 10.1.0 至 10.1.1
• 10.0.0 至 10.0.3
• 9.6.2 至 9.6.24 (LTS)
建議修補版本
• 12.1.6 (LTS) 建議優先升級(僅 Data Center 版)
• 10.2.18 (LTS) 僅 Data Center 版
漏洞詳情
CVE ID | 漏洞類型 | CVSS | 嚴重性 | 建議修復版本 |
作業系統命令注入(OS Command Injection) Bamboo 資料中心原生漏洞 | 9.4 | Critical | 12.1.6 (LTS) | |
拒絕服務攻擊(DoS) io.netty:netty-codec-http2 第三方套件漏洞 | 8.7 | High | 12.1.6 (LTS) | |
HTTP 請求走私(Request Smuggling) tomcat-catalina 第三方套件漏洞 | 7.5 | High | 12.1.6 (LTS) | |
HTTP 請求走私(Request Smuggling) io.netty:netty-codec-http 第三方套件漏洞 | 7.5 | High | 12.1.6 (LTS) | |
中間人攻擊(MITM) tomcat-coyote 第三方套件漏洞 | 7.5 | High | 12.1.6 (LTS) | |
拒絕服務攻擊(DoS) axios 第三方套件漏洞 | 7.5 | High | 12.1.6 (LTS) | |
跨網站腳本攻擊(XSS) dompurify 第三方套件漏洞 | 7.3 | High | 12.1.6 (LTS) |
重要漏洞說明
【Critical】 CVE-2026-21571 CVSS 9.4 作業系統命令注入(OS Command Injection)
說明:Bamboo 資料中心原生漏洞,攻擊者可能透過注入執行任意作業系統命令。
【High】 CVE-2026-33871 CVSS 8.7 拒絕服務攻擊(DoS)
說明:io.netty:netty-codec-http2 第三方套件漏洞。
|Bitbucket Data Center and Server
受影響版本
• 10.1.1 至 10.1.5
• 10.0.1 至 10.0.2
• 9.4.12 至 9.4.17 (LTS)
建議修補版本
• 10.2.0 至 10.2.2 (LTS) 建議優先升級(僅 Data Center 版)
• 9.4.18 至 9.4.19 (LTS) 僅 Data Center 版
漏洞明細
CVE ID | 漏洞類型 | CVSS | 嚴重性 | 建議修補版本 |
拒絕服務攻擊(DoS) ua-parser-js 第三方套件漏洞 | 7.5 | High | 10.2.2 (LTS) |
|Confluence Data Center and Server
受影響版本
• 10.2.0 至 10.2.7 (LTS)
• 10.1.0 至 10.1.2
• 10.0.2 至 10.0.3
• 9.5.1 至 9.5.4
• 9.4.0 至 9.4.1
• 9.3.1 至 9.3.2
• 9.2.0 至 9.2.17 (LTS)
• 9.1.0 至 9.1.1
• 9.0.1 至 9.0.3
• 8.9.1 至 8.9.8
建議修復版本
• 10.2.10 (LTS) 建議優先升級(僅 Data Center 版)
• 9.2.19 (LTS) 僅 Data Center 版
漏洞詳情
CVE ID | 漏洞類型 | CVSS | 嚴重性 | 建議修復版本 |
遠端程式碼執行(RCE) org.yaml:snakeyaml 第三方套件漏洞 | 9.8 | Critical | 10.2.10 (LTS) | |
路徑穿越攻擊(Path Traversal) node-tar 第三方套件漏洞 | 8.8 | High | 10.2.10 (LTS) | |
拒絕服務攻擊(DoS) io.netty:netty-codec-http2 第三方套件漏洞 | 8.7 | High | 10.2.10 (LTS) | |
注入攻擊(Injection) immutable 第三方套件漏洞 | 8.7 | High | 10.2.10 (LTS) | |
檔案包含漏洞(File Inclusion) node-tar 第三方套件漏洞 | 8.2 | High | 10.2.10 (LTS) | |
檔案包含漏洞(File Inclusion) node-tar 第三方套件漏洞 | 8.2 | High | 10.2.10 (LTS) | |
檔案包含漏洞(File Inclusion) node-tar 第三方套件漏洞 | 8.2 | High | 10.2.10 (LTS) | |
DOM 型跨網站腳本攻擊(XSS) @remix-run/router 第三方套件漏洞 | 8.0 | High | 10.2.10 (LTS) | |
拒絕服務攻擊(DoS) valibot 第三方套件漏洞 | 7.5 | High | 10.2.10 (LTS) | |
拒絕服務攻擊(DoS) org.bitbucket.b_c:jose4j 第三方套件漏洞 | 7.5 | High | 10.2.10 (LTS) | |
HTTP 請求走私(Request Smuggling) io.netty:netty-codec-http 第三方套件漏洞 | 7.5 | High | 10.2.10 (LTS) | |
拒絕服務攻擊(DoS) axios 第三方套件漏洞 | 7.5 | High | 10.2.10 (LTS) | |
拒絕服務攻擊(DoS) css 第三方套件漏洞 | 7.5 | High | 10.2.10 (LTS) | |
注入攻擊(Injection) dompurify 第三方套件漏洞 | 7.3 | High | 10.2.10 (LTS) | |
檔案包含漏洞(File Inclusion) node-tar 第三方套件漏洞 | 7.1 | High | 10.2.10 (LTS) |
重要漏洞說明
【Critical】 CVE-2022-1471 CVSS 9.8 遠端程式碼執行(RCE)
說明:org.yaml:snakeyaml 第三方套件漏洞,原廠評估為非關鍵風險,但仍建議立即修補。
【High】 CVE-2026-23950 CVSS 8.8 路徑穿越攻擊(Path Traversal)
說明:node-tar 第三方套件漏洞,可能造成任意檔案寫入。
【High】 CVE-2026-29063 CVSS 8.7 注入攻擊(Injection)
說明:immutable 第三方套件漏洞。
|Jira Data Center and Server
受影響版本
• 11.3.0 至 11.3.3 (LTS)
• 10.7.1 至 10.7.4
• 10.6.0 至 10.6.1
• 10.5.0 至 10.5.1
• 10.4.0 至 10.4.1
• 10.3.0 至 10.3.18 (LTS)
• 10.2.0 至 10.2.1
• 10.1.1 至 10.1.2
• 10.0.0 至 10.0.1
• 9.17.0 至 9.17.5
• 9.16.0 至 9.16.1
• 9.15.2
• 9.12.8 至 9.12.33 (LTS)
建議修復版本
• 11.3.4 (LTS) 建議優先升級(僅 Data Center 版)
• 10.3.19 (LTS) 僅 Data Center 版
漏洞詳情
CVE ID | 漏洞類型 | CVSS | 嚴重性 | 建議修復版本 |
突變型跨網站腳本攻擊(mXSS) dompurify 第三方套件漏洞 | 10.0 | Critical | 11.3.4 (LTS) | |
遠端程式碼執行(RCE) org.yaml:snakeyaml 第三方套件漏洞 | 9.8 | Critical | 11.3.4 (LTS) | |
拒絕服務攻擊(DoS) brace-expansion 第三方套件漏洞 | 9.2 | Critical | 11.3.4 (LTS) | |
權限不當(Improper Authorization) commons-beanutils 第三方套件漏洞 | 8.8 | High | 11.3.4 (LTS) | |
中間人攻擊(MITM) com.squareup.okhttp3:okhttp 第三方套件漏洞 | 7.5 | High | 11.3.4 (LTS) | |
拒絕服務攻擊(DoS) net.minidev:json-smart 第三方套件漏洞 | 7.5 | High | 11.3.4 (LTS) | |
拒絕服務攻擊(DoS) com.squareup.okio:okio 第三方套件漏洞 | 7.5 | High | 11.3.4 (LTS) |
重要漏洞說明
【Critical】 CVE-2024-47875 CVSS 10.0 突變型跨網站腳本攻擊(mXSS)
說明:dompurify 第三方套件漏洞,CVSS 達 10 分,極需立即修補。
【Critical】 CVE-2022-1471 CVSS 9.8 遠端程式碼執行(RCE)
說明:org.yaml:snakeyaml 第三方套件漏洞。
【Critical】 CVE-2026-25547 CVSS 9.2 拒絕服務攻擊(DoS)
說明:brace-expansion 第三方套件漏洞。
【High】 CVE-2025-48734 CVSS 8.8 權限不當(Improper Authorization)
說明:commons-beanutils 第三方套件漏洞。
|Jira Service Management Data Center and Server
受影響版本
• 11.3.0 至 11.3.3 (LTS)
• 11.2.0 至 11.2.1
• 11.1.0 至 11.1.1
• 11.0.1
• 10.7.1 至 10.7.4
• 10.6.0 至 10.6.1
• 10.5.0 至 10.5.1
• 10.4.0 至 10.4.1
• 10.3.0 至 10.3.18 (LTS)
• 10.2.0 至 10.2.1
• 10.1.1 至 10.1.2
• 10.0.0 至 10.0.1
• 5.17.0 至 5.17.5
• 5.16.0 至 5.16.1
• 5.15.2
建議修補版本
• 11.3.4 (LTS) 建議優先升級(僅 Data Center 版)
• 10.3.19 (LTS) 僅 Data Center 版
漏洞明細
CVE ID | 漏洞類型 | CVSS | 嚴重性 | 建議修補版本 |
突變型跨網站腳本攻擊(mXSS) dompurify 第三方套件漏洞 | 10.0 | Critical | 11.3.4 (LTS) | |
遠端程式碼執行(RCE) org.yaml:snakeyaml 第三方套件漏洞 | 9.8 | Critical | 11.3.4 (LTS) | |
中間人攻擊(MITM) xmlhttprequest 第三方套件漏洞 | 9.4 | Critical | 11.3.4 (LTS) | |
權限不當(Improper Authorization) commons-beanutils 第三方套件漏洞 | 8.8 | High | 11.3.4 (LTS) | |
拒絕服務攻擊(DoS) com.squareup.okio:okio 第三方套件漏洞 | 7.5 | High | 11.3.4 (LTS) | |
中間人攻擊(MITM) com.squareup.okhttp3:okhttp 第三方套件漏洞 | 7.5 | High | 11.3.4 (LTS) | |
拒絕服務攻擊(DoS) brace-expansion 第三方套件漏洞 | 7.5 | High | 11.3.4 (LTS) | |
拒絕服務攻擊(DoS) net.minidev:json-smart 第三方套件漏洞 | 7.5 | High | 11.3.4 (LTS) |
重要漏洞說明
【Critical】 CVE-2024-47875 CVSS 10.0 突變型跨網站腳本攻擊(mXSS)
說明:dompurify 第三方套件漏洞,CVSS 達 10 分。
【Critical】 CVE-2022-1471 CVSS 9.8 遠端程式碼執行(RCE)
說明:org.yaml:snakeyaml 第三方套件漏洞。
【Critical】 CVE-2021-31597 CVSS 9.4 中間人攻擊(MITM)
說明:xmlhttprequest 第三方套件漏洞。
|修復建議彙整
以下為各受影響產品之建議最低修補版本,請優先考慮升級至標示「建議優先升級」之版本:
產品 | 建議最低修補版本 | 說明 |
Bamboo Data Center and Server | 12.1.6 (LTS) | 建議優先升級(僅 Data Center 版) |
10.2.18 (LTS) | 僅 Data Center 版 | |
Bitbucket Data Center and Server | 10.2.0 至 10.2.2 (LTS) | 建議優先升級(僅 Data Center 版) |
9.4.18 至 9.4.19 (LTS) | 僅 Data Center 版 | |
Confluence Data Center and Server | 10.2.10 (LTS) | 建議優先升級(僅 Data Center 版) |
9.2.19 (LTS) | 僅 Data Center 版 | |
Jira Data Center and Server | 11.3.4 (LTS) | 建議優先升級(僅 Data Center 版) |
10.3.19 (LTS) | 僅 Data Center 版 | |
Jira Service Management Data Center and Server | 11.3.4 (LTS) | 建議優先升級(僅 Data Center 版) |
10.3.19 (LTS) | 僅 Data Center 版 |
|Atlassian 的應對措施
本次的漏洞被原廠定位成高危風險,不在以上建議修復版本之上之版本建議都要進行升級動作。
建議用戶保持其產品的最新版本,以確保獲得最新的安全修復和改進;未列於上方的修復之相關版本,可能是因為該版本已經非屬於 LTS 版本,建議還是要升級版本至當前建議的修復版本。
|Atlassian Cloud影響狀況
使用 Atlassian Cloud 產品的用戶無需擔心此漏洞影響。Atlassian 的 SaaS 服務具備高度的安全防護機制,並持續進行安全強化,修復漏洞、並持續強化防護機制,以確保您的資料安全。
|總結
若貴司當前的 Atlassian 環境,落在公告所涵蓋的漏洞範圍內,可能導致:
系統資料外洩或權限被濫用
升級過程中功能異常或資料流失
長期運行效能降低與維護成本增加
駭客破解導致公司資產損失
Linktech 深耕 Atlassian 系列解決方案,並同時覆蓋 資訊安全檢測 與 系統升級支援:
🔍 全環境盤點與資安檢測:升級前進行完整漏洞掃描與系統健康檢查。
🔒 安全強化:針對 Atlassian 產品提供修復建議與最佳安全設定。
⚙️ 專業升級服務:確保 Atlassian Data Center 系列產品升級後功能正常、資料完整不流失。
🤝 長期維運顧問:協助企業保持持續更新,降低資安與營運風險。
若您的 Atlassian 環境正受此次公告影響,建議立即:
確認漏洞範圍
評估升級需求
與 Linktech 專業團隊聯繫
Linktech 專業顧問將協助您完成 安全檢測、升級計畫與後續維運,確保系統安全無虞。請立即聯繫獲取完整安全升級方案。
Linktech 團隊洽詢方式:
Tel: 02-7752-7658
email: sales@linktech.com.tw
留言