top of page
搜尋

【Linktech 資安神隊友】Atlassian 2026 年 3 月安全公告

  • 作家相片: Linktech
    Linktech
  • 3月24日
  • 讀畢需時 7 分鐘

Atlassian 2026 年 3 月安全公告摘要

Atlassian 於 2026 年 3 月 17 日 發布 2026 年 3 月安全公告,本月共揭露 21 個 High 高危漏洞。本月無 Critical 嚴重漏洞,但影響範圍較上月更廣,涵蓋 Bamboo、Bitbucket、Confluence、Crowd、Fisheye/Crucible、Jira 及 Jira Service Management 等 7 項產品。

漏洞主要透過 Bug Bounty 計畫、滲透測試流程及第三方套件掃描發現。本月需特別注意 Jira 及 Jira Service Management 中的 node-tar 套件漏洞(CVE-2026-23950,CVSS 8.8),存在路徑穿越與檔案包含風險;Bamboo 亦出現 RCE 類型漏洞(CVE-2026-21570,CVSS 8.6)。


建議各組織立即評估受影響版本,並依本報告建議優先升級至最新 LTS 版本


📊 三月漏洞統計總覽

受影響產品

Critical 漏洞數

High 漏洞數

小計

Bamboo Data Center and Server

0

3

3

Bitbucket Data Center and Server

0

1

1

Confluence Data Center and Server

0

1

1

Crowd Data Center and Server

0

3

3

Fisheye / Crucible

0

1

1

Jira Data Center and Server

0

6

6

Jira Service Management Data Center and Server

0

6

6

合計

0

21

21


|Bamboo Data Center and Server

受影響版本

•       12.1.0 至 12.1.2 (LTS)

•       12.0.0 至 12.0.2

•       11.0.0 至 11.0.8

•       10.2.0 至 10.2.15 (LTS)

•       10.1.0 至 10.1.1

•       10.0.0 至 10.0.3

•       9.6.1 至 9.6.23 (LTS)

 

建議修補版本

•       12.1.3 (LTS) 建議優先升級(僅 Data Center 版)

•       10.2.16 (LTS) 僅 Data Center 版

•       9.6.24 (LTS) 僅 Data Center 版

 

漏洞詳情

CVE ID

漏洞類型

CVSS

嚴重性

建議修復版本

CVE-2026-21570

遠端程式碼執行(RCE)

Bamboo 資料中心原生漏洞

8.6

High

12.1.3 (LTS)

CVE-2025-68493

缺少 XML 驗證(Missing XML Validation)

Apache Struts 第三方套件漏洞

8.1

High

12.1.3 (LTS)

CVE-2025-64775

拒絕服務攻擊(DoS)

Apache Struts 第三方套件漏洞

7.1

High

12.1.3 (LTS)


重要漏洞說明

【High】 CVE-2026-21570 CVSS 8.6 遠端程式碼執行(RCE)

說明:Bamboo 資料中心原生漏洞

【High】 CVE-2025-68493 CVSS 8.1 缺少 XML 驗證(Missing XML Validation)

說明:Apache Struts 第三方套件漏洞


|Bitbucket Data Center and Server

受影響版本

•       10.1.1 至 10.1.4

•       9.4.16 (LTS)

 

建議修補版本

•       10.2.0 至 10.2.1 (LTS) 建議優先升級(僅 Data Center 版)

•       10.1.5 僅 Data Center

•       9.4.17 至 9.4.18 (LTS) 僅 Data Center

 

漏洞明細

CVE ID

漏洞類型

CVSS

嚴重性

建議修補版本

CVE-2022-25883

拒絕服務攻擊(DoS)

semver 第三方套件漏洞

7.5

High

10.2.1 (LTS)

 

|Confluence Data Center and Server

受影響版本

•       10.2.0 至 10.2.6 (LTS)

•       10.1.0 至 10.1.2

•       9.5.1 至 9.5.4

•       9.2.5 至 9.2.14 (LTS)

•       9.0.1


建議修復版本

•       10.2.7 (LTS) 建議優先升級(僅 Data Center 版)

•       9.2.15 至 9.2.17 (LTS) 僅 Data Center 版

•       9.0.2 至 9.0.3 僅 Data Center 版


漏洞詳情

CVE ID

漏洞類型

CVSS

嚴重性

建議修復版本

CVE-2025-64756

作業系統命令注入(OS Command Injection)

glob 第三方套件漏洞

7.5

High

10.2.7 (LTS)


|Crowd Data Center and Server

影響版本

•       7.1.0 至 7.1.3

•       7.0.0 至 7.0.2

•       6.3.0 至 6.3.4

•       6.2.2 至 6.2.6

•       6.1.3 至 6.1.7

•       6.0.0 至 6.0.10

•       5.3.1 至 5.3.8


建議修復版本

•       7.1.5 建議優先升級(僅 Data Center 版)

•       6.3.5 僅 Data Center


漏洞詳情

CVE ID

漏洞類型

CVSS

嚴重性

建議修復版本

CVE-2026-21884

DOM 型跨網站腳本攻擊(XSS)

react-router-dom 第三方套件漏洞

8.2

High

7.1.5

CVE-2026-22029

DOM 型跨網站腳本攻擊(XSS)

@remix-run/router 第三方套件漏洞

8

High

7.1.5

CVE-2026-25639

拒絕服務攻擊(DoS)

axios 第三方套件漏洞

7.5

High

7.1.5


重要漏洞說明

【High】 CVE-2026-21884 CVSS 8.2 DOM 型跨網站腳本攻擊(XSS)

說明:react-router-dom 第三方套件漏洞

【High】 CVE-2026-22029 CVSS 8 DOM 型跨網站腳本攻擊(XSS)

說明:@remix-run/router 第三方套件漏洞


|Fisheye / Crucible

受影響版本

•       4.9.0 至 4.9.7

•       4.8.16

 

建議修補版本

•       4.9.8 建議優先升級

 

漏洞明細

CVE ID

漏洞類型

CVSS

嚴重性

建議修補版本

CVE-2023-52428

拒絕服務攻擊(DoS)

com.nimbusds:nimbus-jose-jwt 第三方套件漏洞

7.5

High

4.9.8

 

|Jira Data Center and Server

受影響版本

•       11.3.0 至 11.3.2 (LTS)

•       11.2.0 至 11.2.1

•       11.1.0 至 11.1.1

•       11.0.0 至 11.0.1

•       10.7.1 至 10.7.4

•       10.6.0 至 10.6.1

•       10.5.0 至 10.5.1

•       10.4.0 至 10.4.1

•       10.3.0 至 10.3.17 (LTS)

•       10.2.0 至 10.2.1

•       10.1.1 至 10.1.2

•       10.0.0 至 10.0.1

•       9.17.0 至 9.17.5

•       9.16.0 至 9.16.1

•       9.15.2

 

建議修補版本

•       11.3.3 (LTS) 建議優先升級(僅 Data Center 版)

•       10.3.18 (LTS) 僅 Data Center 版

 

漏洞明細

CVE ID

漏洞類型

CVSS

嚴重性

建議修補版本

CVE-2026-23950

路徑穿越攻擊(Path Traversal)

node-tar 第三方套件漏洞

8.8

High

11.3.3 (LTS)

CVE-2026-23745

檔案包含漏洞(File Inclusion)

node-tar 第三方套件漏洞

8.2

High

11.3.3 (LTS)

CVE-2026-24842

檔案包含漏洞(File Inclusion)

node-tar 第三方套件漏洞

8.2

High

11.3.3 (LTS)

CVE-2022-25927

拒絕服務攻擊(DoS)

ua-parser-js 第三方套件漏洞

7.5

High

11.3.3 (LTS)

CVE-2022-25883

拒絕服務攻擊(DoS)

semver 第三方套件漏洞

7.5

High

11.3.3 (LTS)

CVE-2020-28469

拒絕服務攻擊(DoS)

glob-parent 第三方套件漏洞

7.5

High

11.3.3 (LTS)

 

重要漏洞說明

【High】 CVE-2026-23950 CVSS 8.8 路徑穿越攻擊(Path Traversal)

說明:node-tar 第三方套件漏洞

【High】 CVE-2026-23745 CVSS 8.2 檔案包含漏洞(File Inclusion)

說明:node-tar 第三方套件漏洞

【High】 CVE-2026-24842 CVSS 8.2 檔案包含漏洞(File Inclusion)

說明:node-tar 第三方套件漏洞

 

|Jira Service Management Data Center and Server

受影響版本

•       11.3.0 至 11.3.2 (LTS)

•       11.2.0 至 11.2.1

•       11.1.0 至 11.1.1

•       11.0.0 至 11.0.1

•       10.7.1 至 10.7.4

•       10.6.0 至 10.6.1

•       10.5.0 至 10.5.1

•       10.4.0 至 10.4.1

•       10.3.0 至 10.3.17 (LTS)

•       10.2.0 至 10.2.1

•       10.1.1 至 10.1.2

•       10.0.0 至 10.0.1

•       5.17.0 至 5.17.5

•       5.16.0 至 5.16.1

•       5.15.2

•       5.12.29 至 5.12.33 (LTS)

 

建議修補版本

•       11.3.3 (LTS) 建議優先升級(僅 Data Center 版)

•       10.3.18 (LTS) 僅 Data Center 版

 

漏洞明細

CVE ID

漏洞類型

CVSS

嚴重性

建議修補版本

CVE-2026-23950

路徑穿越攻擊(Path Traversal)

node-tar 第三方套件漏洞

8.8

High

11.3.3 (LTS)

CVE-2026-23745

檔案包含漏洞(File Inclusion)

node-tar 第三方套件漏洞

8.2

High

11.3.3 (LTS)

CVE-2026-24842

檔案包含漏洞(File Inclusion)

node-tar 第三方套件漏洞

8.2

High

11.3.3 (LTS)

CVE-2024-57699

拒絕服務攻擊(DoS)

net.minidev:json-smart 第三方套件漏洞

7.5

High

11.3.3 (LTS)

CVE-2022-25927

拒絕服務攻擊(DoS)

ua-parser-js 第三方套件漏洞

7.5

High

11.3.3 (LTS)

CVE-2020-28469

拒絕服務攻擊(DoS)

glob-parent 第三方套件漏洞

7.5

High

11.3.3 (LTS)

 

重要漏洞說明

【High】 CVE-2026-23950 CVSS 8.8 路徑穿越攻擊(Path Traversal)

說明:node-tar 第三方套件漏洞

【High】 CVE-2026-23745 CVSS 8.2 檔案包含漏洞(File Inclusion)

說明:node-tar 第三方套件漏洞

【High】 CVE-2026-24842 CVSS 8.2 檔案包含漏洞(File Inclusion)

說明:node-tar 第三方套件漏洞

 

修復建議

以下為各受影響產品之建議最低修補版本,請優先考慮升級至標示「建議優先升級」之版本:

產品

建議最低修補版本

說明

Bamboo Data Center and Server

12.1.3 (LTS)

建議優先升級(僅 Data Center 版)

10.2.16 (LTS)

Data Center

9.6.24 (LTS)

Data Center

Bitbucket Data Center and Server

 

 

10.2.0 至 10.2.1 (LTS)

建議優先升級(僅 Data Center 版)

10.1.5

Data Center

9.4.17 至 9.4.18 (LTS)

 Data Center

Confluence Data Center and Server

 

 

10.2.7 (LTS)

建議優先升級(僅 Data Center 版)

9.2.15 至 9.2.17 (LTS)

 Data Center

9.0.2 至 9.0.3

 Data Center

Crowd Data Center and Server

 

7.1.5

建議優先升級(僅 Data Center 版)

6.3.5

 Data Center

Fisheye / Crucible

4.9.8

建議優先升級

Jira Data Center and Server

 

11.3.3 (LTS)

建議優先升級(僅 Data Center 版)

10.3.18 (LTS)

 Data Center

Jira Service Management Data Center and Server

 

11.3.3 (LTS)

建議優先升級(僅 Data Center 版)

10.3.18 (LTS)

 Data Center


Atlassian 的應對措施

本次的漏洞被原廠定位成高危風險,不再以上建議修復版本之上之版本建議都要進行升級動作。

建議用戶保持其產品的最新版本,以確保獲得最新的安全修復和改進,未列於上方的修復之相關版本,可能是因為該版本已經非屬於LTS版本,建議還是要升級版本至當前建議的修復版本。


Atlassian Cloud影響狀況

使用 Atlassian Cloud 產品的用戶無需擔心此漏洞影響。Atlassian 的 SaaS 服務具備高度的安全防護機制,並持續進行安全強化,修復漏洞、並持續強化防護機制,以確保您的資料安全。


|總結

若貴司當前的 Atlassian 環境,落在公告所涵蓋的漏洞範圍內,可能導致:

  • 系統資料外洩或權限被濫用

  • 升級過程中功能異常或資料流失

  • 長期運行效能降低與維護成本增加

  • 駭客破解導致公司資產損失


Linktech 深耕 Atlassian 系列解決方案,並同時覆蓋 資訊安全檢測 與 系統升級支援

🔍 全環境盤點與資安檢測:升級前進行完整漏洞掃描與系統健康檢查。

🔒 安全強化:針對 Atlassian 產品提供修復建議與最佳安全設定。

⚙️ 專業升級服務:確保 Atlassian Data Center 系列產品升級後功能正常、資料完整不流失。

🤝 長期維運顧問:協助企業保持持續更新,降低資安與營運風險。


若您的 Atlassian 環境正受此次公告影響,建議立即:

  1. 確認漏洞範圍

  2. 評估升級需求

  3. 與 Linktech 專業團隊聯繫


Linktech 專業顧問將協助您完成 安全檢測、升級計畫與後續維運,確保系統安全無虞。請立即聯繫獲取完整安全升級方案。


Linktech 團隊洽詢方式:

留言

bottom of page