【Linktech 資安神隊友】Atlassian 2026 年 1 月安全公告
- Linktech
- 10小时前
- 讀畢需時 5 分鐘
|Atlassian 2026 年 1月安全公告摘要
在 2026 年 01月 20 日的安全公告中,本安全公告中報告的漏洞包括 30 個已修復的高嚴重性漏洞和2個關鍵嚴重性漏洞在上個月發佈的新產品的新版本中。這些漏洞是通過 Atlassian 原廠的 Bug Bounty 計劃,滲透測試過程和第三方掃描找尋出來。
要修復影響您產品的所有漏洞,Linktech 建議您將產品修補到最新版本或以下每個產品的要求修復版本之一。
列出的每個產品的固定版本 截至 2026年01月 20 日(發佈日期)
╴漏洞影響產品
產品 | 修復版本 |
| |
| |
| |
| |
| |
|
╴Atlassian Server & Data Center 安全漏洞摘要
近期 Atlassian 揭露了多項影響 Bamboo、Bitbucket、Confluence、Crowd、Jira 及 Jira Service Management 的嚴重漏洞。本次公告共包含 2 個關鍵嚴重性(Critical) 漏洞與 30 個高嚴重性(High) 漏洞。若未及時升級至安全版本,可能導致遠端程式碼執行(RCE)、XML 外部實體注入(XXE)或服務阻斷(DoS),進而引發系統資料外洩或服務中斷。
Bamboo Data Center and Server
CVE-2025-12383:Bamboo Data Center 中 org.glassfish.jersey.core:jersey-client 依賴項的競爭條件(Race Condition)漏洞。(CVSS 9.4 Critical)
CVE-2025-54988:Bamboo Data Center 和 Server 中 org.apache.tika:tika-core 依賴項的 XXE(XML External Entity Injection)漏洞。(CVSS 8.4 High)
CVE-2025-55163:Bamboo Data Center 和 Server 中 io.netty:netty-codec-http2 依賴項的 DoS(Denial of Service)漏洞。(CVSS 8.2 High)
CVE-2025-27152:Bamboo Data Center 和 Server 中 axios 依賴項的 SSRF(Server-Side Request Forgery)漏洞。(CVSS 7.7 High)
Bitbucket Data Center and Server
CVE-2025-52999:Bitbucket Data Center 和 Server 中 com.fasterxml.jackson.core:jackson-core 依賴項的 DoS(Denial of Service)漏洞。(CVSS 8.7 High)
CVE-2024-38286:Bitbucket Data Center 和 Server 中 org.apache.tomcat.embed:tomcat-embed-core 依賴項的 DoS(Denial of Service)漏洞。(CVSS 8.6 High)
CVE-2025-48989:Bitbucket Data Center 和 Server 中 org.apache.tomcat.embed:tomcat-embed-core 依賴項的 DoS(Denial of Service)漏洞。(CVSS 7.5 High)
CVE-2025-55752:Bitbucket Data Center 和 Server 中 org.apache.tomcat.embed:tomcat-embed-core 依賴項的 RCE(Remote Code Execution)漏洞。(CVSS 7.5 High)
CVE-2025-41249:Bitbucket Data Center 和 Server 中 org.springframework:spring-core 依賴項的授權不當(Improper Authorization)漏洞。(CVSS 7.5 High)
Confluence Data Center and Server
CVE-2025-66516:Confluence Data Center 和 Server 中的 XXE(XML External Entity Injection)漏洞。(CVSS 10 Critical)
CVE-2025-53689:Confluence Data Center 和 Server 中 org.apache.jackrabbit:jackrabbit-spi-commons 依賴項的 XXE(XML External Entity Injection)漏洞。(CVSS 8.8 High)
CVE-2025-54988:Confluence Data Center 和 Server 中 org.apache.tika:tika-core 依賴項的 XXE(XML External Entity Injection)漏洞。(CVSS 8.4 High)
CVE-2025-49146:Confluence Data Center 和 Server 中 org.postgresql:postgresql 依賴項的中間人攻擊(MITM)漏洞。(CVSS 8.2 High)
Crowd Data Center and Server
CVE-2025-54988:Crowd Data Center 和 Server 中 org.apache.tika:tika-core 依賴項的 XXE(XML External Entity Injection)漏洞。(CVSS 8.4 High)
CVE-2026-21569:Crowd Data Center 和 Server 中的 XXE(XML External Entity Injection)漏洞。(CVSS 7.9 High)
CVE-2025-48976:Crowd Data Center 和 Server 中 org.apache.commons:commons-fileupload2-core 依賴項的 DoS(Denial of Service)漏洞。(CVSS 7.5 High)
CVE-2025-64775:Crowd Data Center 和 Server 中 org.apache.struts:struts2-core 依賴項的 DoS(Denial of Service)漏洞。(CVSS 7.5 High)
Jira Data Center and Server
CVE-2025-15284:Jira Software Data Center 和 Server 中 qs 依賴項的 DoS(Denial of Service)漏洞。(CVSS 8.7 High)
CVE-2025-52434:Jira Software Data Center 和 Server 中 org.apache.tomcat:tomcat-coyote 依賴項的 DoS(Denial of Service)漏洞。(CVSS 8.6 High)
CVE-2024-21538:Jira Software Data Center 和 Server 中 cross-spawn 依賴項的 DoS(Denial of Service)漏洞。(CVSS 7.7 High)
CVE-2021-3807:Jira Software Data Center 和 Server 中 ansi-regex 依賴項的 DoS(Denial of Service)漏洞。(CVSS 7.5 High)
CVE-2025-9288:Jira Data Center 和 Server 中 sha.js 依賴項的注入(Injection)漏洞。(CVSS 7.4 High)
CVE-2025-9287:Jira Data Center 和 Server 中 cipher-base 依賴項的注入(Injection)漏洞。(CVSS 7.4 High)
CVE-2024-45801:Jira Software Data Center 和 Server 中 dompurify 依賴項的 XSS(Cross Site Scripting)漏洞。(CVSS 7.3 High)
Jira Service Management Data Center and Server
CVE-2025-15284:Jira Service Management Data Center 和 Server 中 qs 依賴項的 DoS(Denial of Service)漏洞。(CVSS 8.7 High)
CVE-2024-21538:Jira Service Management Data Center 和 Server 中 cross-spawn 依賴項的 DoS(Denial of Service)漏洞。(CVSS 7.7 High)
CVE-2021-3807:Jira Service Management Data Center 和 Server 中 ansi-regex 依賴項的 DoS(Denial of Service)漏洞。(CVSS 7.5 High)
CVE-2025-52434:Jira Service Management Data Center 和 Server 中 org.apache.tomcat:tomcat-coyote 依賴項的 DoS(Denial of Service)漏洞。(CVSS 7.5 High)
CVE-2022-25883:Jira Service Management Data Center 中 semver 依賴項的 DoS(Denial of Service)漏洞。(CVSS 7.5 High)
CVE-2024-45296:Jira Service Management Data Center 和 Server 中 path-to-regexp 依賴項的 DoS(Denial of Service)漏洞。(CVSS 7.5 High)
CVE-2022-45693:Jira Service Management Data Center 和 Server 中 org.codehaus.jettison:jettison 依賴項的 DoS(Denial of Service)漏洞。(CVSS 7.5 High)
CVE-2024-45801:Jira Service Management Data Center 和 Server 中 dompurify 依賴項的 XSS(Cross Site Scripting)漏洞。(CVSS 7.3 High)
CVE-2025-9288:Jira Service Management Data Center 和 Server 中 sha.js 依賴項的注入(Injection)漏洞。(CVSS 7.4 High)
CVE-2025-9287:Jira Service Management Data Center 和 Server 中 cipher-base 依賴項的注入(Injection)漏洞。(CVSS 7.4 High)
╴Atlassian 的應對措施
本次的漏洞被原廠定位成高危風險,不再以上建議修復版本之上之版本建議都要進行升級動作。
建議用戶保持其產品的最新版本,以確保獲得最新的安全修復和改進,未列於上方的修復之相關版本,可能是因為該版本已經非屬於 LTS 版本,建議還是要升級版本至當前建議的修復版本。
╴Atlassian Cloud 影響狀況
使用 Atlassian Cloud 產品的用戶無需擔心此漏洞影響。Atlassian 的 SaaS 服務具備高度的安全防護機制,並持續進行安全強化,修復漏洞、並持續強化防護機制,以確保您的資料安全。
╴總結
若貴司當前的 Atlassian 環境,落在公告所涵蓋的漏洞範圍內,可能導致:
系統資料外洩或權限被濫用
升級過程中功能異常或資料流失
長期運行效能降低與維護成本增加
駭客破解導致公司資產損失
Linktech 深耕 Atlassian 系列解決方案,並同時覆蓋 資訊安全檢測 與 系統升級支援:
🔍 全環境盤點與資安檢測:升級前進行完整漏洞掃描與系統健康檢查。
🔒 安全強化:針對 Atlassian 產品提供修補建議與最佳安全設定。
⚙️ 專業升級服務:確保Atlassian Data Center系列產品升級後功能正常、資料完整不流失。
🤝 長期維運顧問:協助企業保持持續更新,降低資安與營運風險。
若您的 Atlassian 環境正受此次公告影響,建議立即:
確認漏洞範圍
評估升級需求
與 Linktech 專業團隊聯繫
Linktech 專業顧問 將協助您完成 安全檢測、升級計畫與後續維運,確保系統安全無虞。請立即聯繫 Linktech,獲取完整安全升級方案。
Linktech 團隊洽詢方式:
Tel: 02-7752-7658
email: sales@linktech.com.tw
留言