top of page
搜尋

【Linktech 資安神隊友】Atlassian 2025 年 5 月安全公告

Atlassian 2025 年 5月安全公告摘要

在 2025 年 5月 20日的安全公告中,本安全公告中報告的漏洞包括8個已修復的高嚴重性漏洞 在上個月發佈的新產品的新版本中。這些漏洞是通過我們Atlassian原廠的 Bug Bounty 計劃,滲透測試過程和第三方掃描找尋出來。

要修復影響您產品的所有漏洞,Linktech建議您將產品修補到最新版本或以下每個產品的要求修復版本之一。


列出的每個產品的固定版本 截至 2025 年5月 20 日(發佈日期)


╴關鍵漏洞描述

產品

受影響的版本

修復版本

Bamboo Data Center and Server

  • 11.0.0

  • 10.2.0 至 10.2.3(LTS)

  • 10.1.0 至 10.1.1

  • 10.0.0 至 10.0.3

  • 9.6.0 至 9.6.12(LTS)

  • 11.0.1 (Data Center only)

  • 10.2.4 (LTS, recommended, Data Center only)

  • 9.6.13 (LTS, Data Center only)

Confluence Data Center and Server

  • 9.4.0

  • 9.3.1 to 9.3.2

  • 9.2.0 to 9.2.3 (LTS)

  • 9.1.0 to 9.1.1

  • 9.0.1 to 9.0.3

  • 8.9.0 to 8.9.8

  • 8.8.0 to 8.8.1

  • 8.7.1 to 8.7.2

  • 8.6.0 to 8.6.2

  • 8.5.0 to 8.5.21 (LTS)

  • 7.13.18 to 7.13.20 (LTS)

  • 9.4.1 (Data Center only)

  • 9.2.4 (LTS, recommended, Data Center only)

  • 8.5.22 (LTS)

Jira Data Center and Server

  • 10.5.0 to 10.5.1

  • 10.4.0 to 10.4.1

  • 10.3.0 to 10.3.4 (LTS)

  • 10.2.0 to 10.2.1

  • 10.1.1 to 10.1.2

  • 10.0.0 to 10.0.1

  • 9.17.0 to 9.17.5

  • 9.16.0 to 9.16.1

  • 9.15.2

  • 9.14.0 to 9.14.1

  • 9.13.0 to 9.13.1

  • 9.12.0 to 9.12.19 (LTS)

  • 9.11.3

  • 10.6.0 (Data Center only)

  • 10.3.5 to 10.3.6 (LTS, recommended, Data Center only)

  • 9.12.22 to 9.12.23 (LTS)

Fisheye/Crucible

  • 4.9.0

  • 4.9.1 recommended

Jira Service Management Data Center and Server

  • 10.5.0 to 10.5.1

  • 10.4.0 to 10.4.1

  • 10.3.0 to 10.3.4 (LTS)

  • 10.2.0 to 10.2.1

  • 10.1.1 to 10.1.2

  • 10.0.0 to 10.0.1

  • 5.17.0 to 5.17.5

  • 5.16.0 to 5.16.1

  • 5.15.2

  • 5.14.0 to 5.14.1

  • 5.13.0 to 5.13.1

  • 5.12.0 to 5.12.19 (LTS)

  • 5.11.3

  • 10.6.0 (Data Center only)

  • 10.3.5 to 10.3.6 (LTS, recommended, Data Center only)

  • 5.12.22 to 5.12.23 (LTS)

╴Atlassian Server & Data Center 安全漏洞摘要

近期 Atlassian 公佈多項影響 Bamboo、Confluence、Jira、Fisheye/Crucible、Jira Service Management 的高風險漏洞(CVSS 評分 7.5–7.7),若您尚未升級至建議版本,可能面臨服務阻斷(DoS)或 XML 外部實體攻擊(XXE)等安全風險。


Bamboo

  • CVE-2025-31650:存在 org.apache.tomcat:tomcat-coyote 依賴項的服務阻斷(DoS)漏洞。CVSS 評分:7.5 高風險


Confluence

  • CVE-2024-47072:com.thoughtworks.xstream:xstream 依賴項存在服務阻斷(DoS)漏洞。CVSS 評分:7.5 高風險

  • CVE-2025-31650:org.apache.tomcat:tomcat-coyote 依賴項的服務阻斷(DoS)漏洞。CVSS 評分:7.5 高風險


Fisheye/Crucible

  • CVE-2024-57699net.minidev:json-smart 依賴項的服務阻斷(DoS)漏洞。

    CVSS 評分:7.5 高風險


Jira Software

  • CVE-2025-24970:io.netty:netty-handler 依賴項存在服務阻斷(DoS)漏洞。CVSS 評分:7.5 高風險

  • CVE-2025-22157:Jira Core 權限提升(PrivEsc)漏洞。CVSS 評分:7.2 高風險


Jira Service Management

  • CVE-2025-24970:與 Jira Software 相同的 io.netty:netty-handler 服務阻斷(DoS)漏洞。CVSS 評分:7.5 高風險

  • CVE-2025-22157:Jira Service Management 權限提升(PrivEsc)漏洞。CVSS 評分:7.2 高風險


Atlassian 的應對措施

雖然這些漏洞被評估為對 Atlassian 產品風險較低,但仍建議用戶參照上方資訊,保持其產品的最新版本,以確保獲得最新的安全修復和改進。


Atlassian Cloud影響狀況

使用 Atlassian Cloud 產品的用戶無需擔心此漏洞影響。Atlassian 的 SaaS 服務具備高度的安全防護機制,並持續進行安全強化,修復漏洞、並持續強化防護機制,以確保您的資料安全。


總結

Linktech 深耕 Atlassian 系列解決方案,同時涵蓋資訊安全檢驗的部分,若有發現Atlassian系列產品環境存在潛在危機的客戶,歡迎隨時與我們聯繫,同時在軟體升級的部分,我們也會再進行升級前進行全系統的盤點與掃描,確保升級後功能可以正常使用,且資料不會流失。


Atlassian 的 2025 年 5 月安全公告強調了公司對透明度和用戶安全的承諾。即使某些漏洞對其產品影響較小,Atlassian 仍選擇披露,並鼓勵用戶保持軟體更新,以確保最佳的安全性和性能,再次提醒如貴司當前環境為漏洞影響之範圍內,最終應該都請盡速做主程式的升級,如有需要任何協助確認或者升級工程,請盡速與 Linktech 團隊做聯繫。


Linktech 團隊洽詢方式:

Kommentarer

linktech_logo
OPENING HOURS:
Monday - Friday  9:00a.m ~ 6:00p.m
​新北市板橋區三民路二段 37 號 7 樓之 2
台灣 Taiwan
Tel 1 : +886 2 7752 7658
Tel 2 : +886 2 2959 9166
Fax   : +886 2 2959 9198
sales@linktech.com.tw
  • Facebook
  • YouTube

Copyright © Linktech Inc. All rights reserved. 

bottom of page