top of page
搜尋

【Linktech 資安神隊友】Atlassian 2025 年 12 月安全公告

  • 作家相片: Linktech
    Linktech
  • 8小时前
  • 讀畢需時 6 分鐘

Atlassian 2025 年 12月安全公告摘要

在 2025 年 12 月11日的安全公告中,本安全公告中報告的漏洞包括 37 個已修復的高嚴重性漏洞和 9 個關鍵嚴重性漏洞在上個月發佈的新產品的新版本中。這些漏洞是通過 Atlassian 原廠的 Bug Bounty 計劃,滲透測試過程和第三方掃描找尋出來。


要修復影響您產品的所有漏洞,Linktech建議您將產品修補到最新版本或以下每個產品的要求修復版本之一。


列出的每個產品的固定版本 截至 2025 年12月 11 日(發佈日期)

╴漏洞影響產品

產品

受影響的版本

修復版本

Bamboo Data Center and Server

  • 12.0.1

  • 10.2.0 to 10.2.11 (LTS)

  • 9.6.1 to 9.6.19 (LTS)

  • 12.0.2 Data Center Only

  • 10.2.12 (LTS) recommended Data Center Only

  • 9.6.20 (LTS) Data Center Only

Bitbucket Data Center and Server

  • 9.1.0 to 9.1.1

  • 9.0.1

  • 8.19.0 to 8.19.24 (LTS)

  • 8.18.0 to 8.18.1

  • 10.1.1 to 10.1.3 Data Center Only

  • 10.0.0 to 10.0.2 Data Center Only

  • 9.4.0 to 9.4.15 (LTS) recommended Data Center Only

  • 8.19.25 to 8.19.26 (LTS) Data Center Only

Confluence Data Center and Server

  • 10.2.0 (LTS)

  • 10.1.0 to 10.1.2

  • 10.0.2 to 10.0.3

  • 9.5.1 to 9.5.4

  • 9.4.0 to 9.4.1

  • 9.3.1 to 9.3.2

  • 9.2.0 to 9.2.11 (LTS)

  • 9.1.0 to 9.1.1

  • 9.0.1 to 9.0.3

  • 8.9.0 to 8.9.8

  • 8.8.0 to 8.8.1

  • 8.5.5 to 8.5.29 (LTS)

  • 7.19.18 to 7.19.30 (LTS)

2025年12月17日 Update:

  • 10.2.2 (LTS) recommended Data Center Only

  • 9.2.13 (LTS) Data Center Only

  • 8.5.31 (LTS)

 Previous releases

  • 10.2.1 (LTS) recommended Data Center Only

  • 9.2.12 (LTS) Data Center Only

  • 8.5.30 (LTS)


Crowd Data Center and Server

  • 7.1.0 to 7.1.1

  • 7.0.0 to 7.0.2

  • 6.3.0 to 6.3.3

  • 6.2.0 to 6.2.6

  • 6.1.0 to 6.1.7

  • 6.0.0 to 6.0.10

  • 5.3.0 to 5.3.8

  • 5.2.2 to 5.2.11

  • 5.1.7 to 5.1.13

  • 7.1.2 recommended Data Center Only

Fisheye/Crucible

  • 4.9.0 to 4.9.5

  • 4.8.14 to 4.8.16

  • 4.9.6 recommended

Jira Data Center and Server

  • 11.2.0 to 11.2.1

  • 11.1.0 to 11.1.1

  • 11.0.0 to 11.0.1

  • 10.3.0 to 10.3.14 (LTS)

  • 9.12.1 to 9.12.29 (LTS)

  • 11.3.0 (LTS) recommended Data Center Only

  • 10.3.15 (LTS) Data Center Only

  • 9.12.30 (LTS) Data Center Only

Jira Service Management Data Center and Server

  • 11.2.0 to 11.2.1

  • 11.1.0 to 11.1.1

  • 11.0.0 to 11.0.1

  • 10.3.0 to 10.3.14 (LTS)

  • 11.3.0 (LTS) recommended Data Center Only

  • 10.3.15 (LTS) Data Center Only


╴Atlassian Server & Data Center 安全漏洞摘要


近期 Atlassian 揭露了多項影響 Bamboo、Bitbucket、Confluence、Crowd、Fisheye/Crucible、Jira 及 Jira Service Management 的嚴重漏洞 。本次公告共包含 9 個關鍵嚴重性(Critical)漏洞37 個高嚴重性(High)漏洞 。若未及時升級至安全版本,可能導致 XML 外部實體注入(XXE)、遠端程式碼執行(RCE)、服務阻斷(DoS)或原型汙染(Prototype Pollution),進而引發系統資料外洩或權限被濫用 。


Bamboo:

  • CVE-2025-66516:Bamboo Data Center and Server 中 Tika 依賴項的 XXE(XML External Entity Injection)漏洞。(CVSS 10 Critical)


  • CVE-2025-52434:Bamboo Data Center and Server 中 org.apache.tomcat:tomcat-util 依賴項的 DoS(Denial of Service)漏洞。(CVSS 7.5 High)


Bitbucket:

  • CVE-2024-7254:Bitbucket Data Center and Server 中 com.google.protobuf:protobuf-java 依賴項的 DoS(Denial of Service)漏洞。(CVSS 8.7 High)


Confluence:

  • CVE-2025-66516:Confluence Data Center and Server 中 Tika 依賴項的 XXE(XML External Entity Injection)漏洞。(CVSS 10 Critical)


  • CVE-2022-37601:Confluence Data Center and Server 中 loader-utils 依賴項的 Prototype Pollution 漏洞。(CVSS 9.8 Critical)


  • CVE-2024-29415:Confluence Data Center and Server 中的 SSRF(Server-Side Request Forgery)漏洞。(CVSS 8.1 High)


  • CVE-2024-12905:Confluence Data Center and Server 中 tar-fs 依賴項的 File Inclusion 漏洞。(CVSS 7.5 High)


  • CVE-2022-37599:Confluence Data Center and Server 中 loader-utils 依賴項的 DoS(Denial of Service)漏洞。(CVSS 7.5 High)


  • CVE-2022-37603:Confluence Data Center and Server 中 loader-utils 依賴項的 DoS(Denial of Service)漏洞。(CVSS 7.5 High)


Crowd:

  • CVE-2025-66516:Crowd Data Center and Server 中 Tika 依賴項的 XXE(XML External Entity Injection)漏洞。(CVSS 10 Critical)


  • CVE-2025-52999:Crowd Data Center and Server 中 com.fasterxml.jackson.core:jackson-core 依賴項的 DoS(Denial of Service)漏洞。(CVSS 8.7 High)


  • CVE-2025-55163:Crowd Data Center and Server 中 io.netty:netty-codec-http2 依賴項的 DoS(Denial of Service)漏洞。(CVSS 8.2 High)


  • CVE-2025-41248:Crowd Data Center 中 org.springframework.security:spring-security-core 依賴項的 Improper Authorization 漏洞。(CVSS 7.5 High)


  • CVE-2025-48989:Crowd Data Center and Server 中 org.apache.tomcat:tomcat-coyote 依賴項的 DoS(Denial of Service)漏洞。(CVSS 7.5 High)


  • CVE-2020-36518:Crowd Data Center 中 com.fasterxml.jackson.core:jackson-databind 依賴項的 DoS(Denial of Service)漏洞。(CVSS 7.5 High)


  • CVE-2021-46877:Crowd Data Center and Server 中 com.fasterxml.jackson.core:jackson-databind 依賴項的 DoS(Denial of Service)漏洞。(CVSS 7.5 High)


  • CVE-2022-42004:Crowd Data Center and Server 中 com.fasterxml.jackson.core:jackson-databind 依賴項的 DoS(Denial of Service)漏洞。(CVSS 7.5 High)


  • CVE-2024-13009:Crowd Data Center and Server 中 com.fasterxml.jackson.core:jackson-databind 依賴項的 Information Disclosure 漏洞。(CVSS 7.2 High)


Fisheye/Crucible:

  • CVE-2025-66516:Crucible Server and Fisheye Server 中 Tika 依賴項的 XXE(XML External Entity Injection)漏洞。(CVSS 10 Critical)


  • CVE-2025-59250:Crucible Server and Fisheye Server 中 MSSQL JDBC driver 的 Improper Input Validation 漏洞。(CVSS 8.1 High)


Jira:

  • CVE-2025-66516:Jira Software Data Center and Server 中 Tika 依賴項的 XXE(XML External Entity Injection)漏洞。(CVSS 10 Critical)


  • CVE-2021-39227:Jira Software Data Center and Server 中 zrender 依賴項的 Prototype Pollution 漏洞。(CVSS 9.8 Critical)


  • CVE-2025-54988:Jira Software Data Center and Server 中的 XXE(XML External Entity Injection)漏洞。(CVSS 8.4 High)


  • CVE-2016-1182:Jira Software Data Center and Server 中 org.apache.struts:struts-core 依賴項的 DoS(Denial of Server)漏洞。(CVSS 8.2 High)


  • CVE-2025-55163:Jira Software Data Center and Server 中 io.netty:netty-codec-http2 依賴項的 DoS(Denial of Service)漏洞。(CVSS 8.2 High)


  • CVE-2016-1181:Jira Software Data Center and Server 中的 RCE(Remote Code Execution)漏洞。(CVSS 8.1 High)


  • CVE-2025-27152:Jira Software Data Center and Server 中 axios 依賴項的 SSRF(Server Side Request Forgery)漏洞。(CVSS 7.7 High)


  • CVE-2025-41248:Jira Software Data Center and Server 中 org.springframework.security:spring-security-core 依賴項的 Improper Authorization 漏洞。(CVSS 7.5 High)


  • CVE-2025-48976:Jira Software Data Center and Server 中 commons-fileupload:commons-fileupload 依賴項的 DoS(Denial of Service)漏洞。(CVSS 7.5 High)


  • CVE-2024-21634:Jira Software Data Center and Server 中 software.amazon.ion:ion-java 依賴項的 DoS(Denial of Service)漏洞。(CVSS 7.5 High)


  • CVE-2022-3517:Jira Software Data Center and Server 中 minimatch 依賴項的 DoS(Denial of Service)漏洞。(CVSS 7.5 High)


  • CVE-2025-58754:Jira Software Data Center and Server 中 axios 依賴項的 DoS(Denial of Service)漏洞。(CVSS 7.5 High)


  • CVE-2023-49735:Jira Software Data Center and Server 中的 XXE(XML External Entity Injection)漏洞。(CVSS 7.5 High)


  • CVE-2022-45693:Jira Software Data Center and Server 中 org.codehaus.jettison:jettison 依賴項的 DoS(Denial of Service)漏洞。(CVSS 7.5 High)


  • CVE-2020-8203:Jira Software Data Center and Server 中 loadash.pick 依賴項的 Prototype Pollution 漏洞。(CVSS 7.4 High)


Jira Service Management:

  • CVE-2025-66516:Jira Service Management Data Center and Server 中 Tika 依賴項的 XXE(XML External Entity Injection)漏洞。(CVSS 10 Critical)


  • CVE-2021-39227:Jira Service Management Data Center and Server 中 zrender 依賴項的 Prototype Pollution 漏洞。(CVSS 9.8 Critical)


  • CVE-2025-54988:Jira Service Management Data Center and Server 中的 XXE(XML External Entity Injection)漏洞。(CVSS 8.4 High)


  • CVE-2025-55163:Jira Service Management Data Center and Server 中 io.netty:netty-codec-http2 依賴項的 DoS(Denial of Service)漏洞。(CVSS 8.2 High)


  • CVE-2016-1182:Jira Service Management Data Center and Server 中 org.apache.struts:struts-core 依賴項的 DoS(Denial of Server)漏洞。(CVSS 8.2 High)


  • CVE-2016-1181:Jira Service Management Data Center and Server 中的 RCE(Remote Code Execution)漏洞。(CVSS 8.1 High)


  • CVE-2023-49735:Jira Service Management Data Center and Server 中的 XXE(XML External Entity Injection)漏洞。(CVSS 7.5 High)


  • CVE-2025-41248:Jira Service Management Data Center and Server 中 org.springframework.security:spring-security-core 依賴項的 Improper Authorization 漏洞。(CVSS 7.5 High)


  • CVE-2022-3517:Jira Service Management Data Center and Server 中 minimatch 依賴項的 DoS(Denial of Service)漏洞。(CVSS 7.5 High)


  • CVE-2025-58754:Jira Service Management Data Center and Server 中 axios 依賴項的 DoS(Denial of Service)漏洞。(CVSS 7.5 High)


  • CVE-2020-8203:Jira Service Management Data Center and Server 中 loadash.pick 依賴項的 Prototype Pollution 漏洞。(CVSS 7.4 High)


╴Atlassian 的應對措施

本次的漏洞被原廠定位成高危風險,建議用戶參照上方資訊,保持其產品的最新版本,以確保獲得最新的安全修復和改進,未列於上方的版本,可能是因為該版本已經非屬於LTS版本,建議還是要升級版本至當前建議的修復版本。


╴Atlassian Cloud 影響狀況

使用 Atlassian Cloud 產品的用戶無需擔心此漏洞影響。Atlassian 的 SaaS 服務具備高度的安全防護機制,並持續進行安全強化,修復漏洞、並持續強化防護機制,以確保您的資料安全。


╴總結

若貴司當前的 Atlassian 環境,落在公告所涵蓋的漏洞範圍內,可能導致:系統資料外洩或權限被濫用

• 升級過程中功能異常或資料流失

• 長期運行效能降低與維護成本增加

Linktech 深耕 Atlassian 系列解決方案,並同時覆蓋 資訊安全檢測 與 系統升級支援

  • 🔍 全環境盤點與資安檢測:升級前進行完整漏洞掃描與系統健康檢查。

  • 🔒 安全強化:針對 Atlassian 產品提供修補建議與最佳安全設定。

  • ⚙️ 專業升級服務:確保Atlassian Data Center系列產品升級後功能正常、資料完整不流失。

  • 🤝 長期維運顧問:協助企業保持持續更新,降低資安與營運風險。


若您的 Atlassian 環境正受此次公告影響,建議立即:

  1. 確認漏洞範圍

  2. 評估升級需求

  3. 與 Linktech 專業團隊聯繫


Linktech 專業顧問 將協助您完成 安全檢測、升級計畫與後續維運,確保系統安全無虞。請立即聯繫 Linktech,獲取完整安全升級方案。


Linktech 團隊洽詢方式:

留言

bottom of page