top of page
搜尋

【Linktech 資安神隊友】Atlassian 2026 年 5 月安全公告

  • 作家相片: Linktech
    Linktech
  • 4天前
  • 讀畢需時 8 分鐘

Atlassian 2026 年 5 月安全公告摘要

Atlassian 於 2026 年 5 月 19 日 發布 2026 年 5 月安全公告,本月共揭露 39 個 High 高危漏洞 及 3 個 Critical 嚴重等級之第三方套件漏洞,合計 42 個漏洞。其中 Critical 等級漏洞屬於非 Atlassian 原生程式碼之第三方相依套件,原廠評估其於產品實際應用情境中為非關鍵風險,但仍應儘速修補。


本月影響範圍涵蓋 Bamboo、Bitbucket、Confluence、Fisheye/Crucible、Jira 與 Jira Service Management 等 6 項產品。漏洞主要透過 Bug Bounty 計畫、滲透測試流程及第三方套件掃描發現。

本月需特別注意:Confluence 之 CVE-2026-29145(CVSS 9.1,認證與工作階段管理失效)、Jira 與 Jira Service Management 之 CVE-2026-22732(CVSS 9.1,安全標頭遺漏)等三項 Critical 第三方相依漏洞;Bamboo 與 Fisheye/Crucible 亦多次出現 RCE 類型漏洞(CVE-2026-27727、CVE-2026-27830,CVSS 8.9)。

建議各組織立即評估受影響版本,並依本報告建議優先升級至最新 LTS 版本。


📊 五月漏洞統計總覽

受影響產品

Critical 漏洞數

High 漏洞數

小計

Bamboo Data Center and Server

0

8

8

Bitbucket Data Center and Server

0

2

2

Confluence Data Center and Server

1

7

8

Fisheye / Crucible

0

6

6

Jira Data Center and Server

1

8

9

Jira Service Management Data Center and Server

1

8

9

合計

3

39

42


|Bamboo Data Center and Server

受影響版本

•     12.1.0 至 12.1.6 (LTS)

•     12.0.0 至 12.0.2

•     11.0.0 至 11.0.8

•     10.2.0 至 10.2.18 (LTS)

•     10.1.0 至 10.1.1

•     10.0.0 至 10.0.3

•     9.6.3 至 9.6.25 (LTS)

 

建議修補版本

•     12.1.7 (LTS)    建議優先升級(僅 Data Center 版)

•     10.2.19 (LTS)    Data Center

•     9.6.26 (LTS)    Data Center

 

漏洞詳情

CVE ID

漏洞類型

CVSS

嚴重性

建議修復版本

CVE-2026-5598

隱蔽時序通道(Covert Timing Channel)

Bouncy Castle (bcprov-jdk18on) 第三方套件漏洞

8.9

High

CVE-2026-27727

遠端程式碼執行(RCE)

mchange-commons-java 第三方套件漏洞

8.9

High

CVE-2025-67030

目錄穿越(Directory Traversal)

plexus-utils 第三方套件漏洞

8.8

High

CVE-2026-29062

拒絕服務攻擊(DoS)

jackson-core 第三方套件漏洞

8.7

High

CVE-2026-34487

資訊洩漏(Information Disclosure)

Apache Tomcat (tomcat-catalina) 第三方套件漏洞

7.5

High

CVE-2026-34483

注入攻擊(Injection)

Apache Tomcat (tomcat-catalina) 第三方套件漏洞

7.5

High

CVE-2026-29129

安全性設定錯誤(Security Misconfiguration)

Apache Tomcat 第三方套件漏洞

7.5

High

CVE-2026-39304

拒絕服務攻擊(DoS)

Apache ActiveMQ 第三方套件漏洞

7.5

High


重要漏洞說明

【High】 CVE-2026-5598 CVSS 8.9 隱蔽時序通道(Covert Timing Channel)

說明:Bouncy Castle (bcprov-jdk18on) 第三方套件漏洞

【High】 CVE-2026-27727 CVSS 8.9 遠端程式碼執行(RCE)

說明:mchange-commons-java 第三方套件漏洞

【High】 CVE-2025-67030 CVSS 8.8 目錄穿越(Directory Traversal)

說明:plexus-utils 第三方套件漏洞


|Bitbucket Data Center and Server

受影響版本

•     10.2.0 至 10.2.1 (LTS)

•     10.1.1 至 10.1.5

•     10.0.0 至 10.0.2

•     9.6.0 至 9.6.5

•     9.5.0 至 9.5.2

•     9.4.0 至 9.4.18 (LTS)

•     9.3.0 至 9.3.2

•     9.2.0 至 9.2.1

•     9.1.0 至 9.1.1

•     9.0.1

•     8.19.0 至 8.19.29 (LTS)

 

建議修補版本

•       10.2.2 至 10.2.3 (LTS)  建議優先升級(僅 Data Center 版)

•       9.4.19 至 9.4.20 (LTS)Data Center

 

漏洞明細

CVE ID

漏洞類型

CVSS

嚴重性

建議修補版本

CVE-2026-33750

拒絕服務攻擊(DoS)

Bitbucket 資料中心原生漏洞

7.5

High

CVE-2024-45801

跨網站腳本攻擊(XSS)

dompurify 第三方套件漏洞

7.3

High


重要漏洞說明

【High】 CVE-2026-33750 CVSS 7.5 拒絕服務攻擊(DoS)

說明:Bitbucket 資料中心原生漏洞 


|Confluence Data Center and Server

受影響版本

•     10.2.0 至 10.2.10 (LTS)

•     10.1.0 至 10.1.2

•     10.0.2 至 10.0.3

•     9.5.1 至 9.5.4

•     9.4.0 至 9.4.1

•     9.3.1 至 9.3.2

•     9.2.0 至 9.2.19 (LTS)

•     9.1.0 至 9.1.1

•     9.0.1 至 9.0.3

•     8.9.2 至 8.9.8


建議修復版本

•       10.2.11 (LTS) 建議優先升級(僅 Data Center 版)

•       9.2.20 (LTS) 僅 Data Center 版


漏洞詳情

CVE ID

漏洞類型

CVSS

嚴重性

建議修復版本

CVE-2026-29145

認證與工作階段管理失效(BASM)

第三方套件漏洞(Atlassian 評估為非關鍵風險)

9.1

Critical

CVE-2026-29062

拒絕服務攻擊(DoS)

jackson-core 第三方套件漏洞

8.7

High

CVE-2026-34487

資訊洩漏(Information Disclosure)

Confluence 資料中心原生漏洞

7.5

High

CVE-2026-29146

資訊洩漏(Information Disclosure)

Confluence 資料中心原生漏洞

7.5

High

CVE-2026-24880

HTTP 請求/回應走私(Request/Response Smuggling)

Apache Tomcat 第三方套件漏洞

7.5

High

CVE-2026-34483

不當編碼(Improper Encoding)

Apache Tomcat (tomcat-catalina) 第三方套件漏洞

7.5

High

CVE-2026-33750

拒絕服務攻擊(DoS)

Confluence 資料中心原生漏洞

7.5

High

CVE-2026-24734

注入攻擊(Injection)

Confluence 資料中心原生漏洞

7.5

High


重要漏洞說明

【Critical】 CVE-2026-29145 CVSS 9.1 認證與工作階段管理失效(BASM)

說明:第三方套件漏洞,Atlassian 應用情境評估為非關鍵風險,仍建議儘速升級

【High】 CVE-2026-29062 CVSS 8.7 拒絕服務攻擊(DoS)

說明:jackson-core 第三方套件漏洞

【High】 CVE-2026-24880 CVSS 7.5 HTTP 請求/回應走私

說明:Apache Tomcat 第三方套件漏洞


|Fisheye / Crucible

受影響版本

  • 4.9.0 至 4.9.9


建議修補版本

  • 4.9.10    建議優先升級


漏洞詳情

CVE ID

漏洞類型

CVSS

嚴重性

建議修復版本

CVE-2026-27830

遠端程式碼執行(RCE)

c3p0 第三方套件漏洞

8.9

High

CVE-2026-27727

遠端程式碼執行(RCE)

mchange-commons-java 第三方套件漏洞

8.9

High

CVE-2026-5598

隱蔽時序通道(Covert Timing Channel)

Bouncy Castle 第三方套件漏洞

8.9

High

CVE-2025-52999

遠端程式碼執行(RCE)

jackson-core 第三方套件漏洞

8.7

High

CVE-2026-42198

拒絕服務攻擊(DoS)

PostgreSQL 第三方套件漏洞

7.5

High

CVE-2023-24998

拒絕服務攻擊(DoS)

commons-fileupload 第三方套件漏洞

7.5

High


重要漏洞說明

【High】 CVE-2026-27830 CVSS 8.9 遠端程式碼執行(RCE)

說明:c3p0 第三方套件漏洞

【High】 CVE-2026-27727 CVSS 8.9 遠端程式碼執行(RCE)

說明:mchange-commons-java 第三方套件漏洞

【High】 CVE-2025-52999 CVSS 8.7 遠端程式碼執行(RCE)

說明:jackson-core 第三方套件漏洞


|Jira Data Center and Server

受影響版本

•     11.3.0 至 11.3.4 (LTS)

•     11.2.0 至 11.2.1

•     11.1.0 至 11.1.1

•     11.0.0 至 11.0.1

•     10.7.1 至 10.7.4

•     10.6.0 至 10.6.1

•     10.5.0 至 10.5.1

•     10.4.0 至 10.4.1

•     10.3.0 至 10.3.19 (LTS)

•     10.2.0 至 10.2.1

•     10.1.1 至 10.1.2

•     10.0.0 至 10.0.1

•     9.17.0 至 9.17.5

•     9.16.0 至 9.16.1

•     9.12.32 至 9.12.34 (LTS)


建議修復版本

•       11.3.5 至 11.3.6 (LTS) 建議優先升級(僅 Data Center 版)

•       10.3.20 至 10.3.21 (LTS) 僅 Data Center 版

•       9.12.35 (LTS)僅 Data Center 版


漏洞詳情

CVE ID

漏洞類型

CVSS

嚴重性

建議修復版本

CVE-2026-22732

安全標頭遺漏(Security Headers Omission)

第三方套件漏洞(Atlassian 評估為非關鍵風險)

9.1

Critical

CVE-2026-29062

拒絕服務攻擊(DoS)

jackson-core 第三方套件漏洞

8.7

High

CVE-2026-31802

檔案包含漏洞(File Inclusion)

Jira 軟體資料中心原生漏洞

8.2

High

CVE-2026-29786

檔案包含漏洞(File Inclusion)

Jira 軟體資料中心原生漏洞

8.2

High

CVE-2026-22029

DOM 型跨網站腳本攻擊(XSS)

@remix-run/router 第三方套件漏洞

8.0

High

CVE-2026-25639

拒絕服務攻擊(DoS)

axios 第三方套件漏洞

7.5

High

CVE-2026-34483

不當編碼(Improper Encoding)

Apache Tomcat (tomcat-catalina) 第三方套件漏洞

7.5

High

CVE-2026-33750

拒絕服務攻擊(DoS)

Jira 軟體資料中心原生漏洞

7.5

High

CVE-2026-29129

安全性設定錯誤(Security Misconfiguration)

Apache Tomcat 第三方套件漏洞

7.5

High


重要漏洞說明

【Critical】 CVE-2026-22732 CVSS 9.1 安全標頭遺漏(Security Headers Omission)

說明:第三方套件漏洞,Atlassian 應用情境評估為非關鍵風險

【High】 CVE-2026-29062 CVSS 8.7 拒絕服務攻擊(DoS)

說明:jackson-core 第三方套件漏洞

【High】 CVE-2026-31802 CVSS 8.2 檔案包含漏洞(File Inclusion)

說明:Jira 軟體資料中心原生漏洞

【High】 CVE-2026-29786 CVSS 8.2 檔案包含漏洞(File Inclusion)

說明:Jira 軟體資料中心原生漏洞


|Jira Service Management Data Center and Server

受影響版本

•     11.3.0 至 11.3.4 (LTS)

•     11.2.0 至 11.2.1

•     11.1.0 至 11.1.1

•     11.0.0 至 11.0.1

•     10.7.1 至 10.7.4

•     10.6.0 至 10.6.1

•     10.5.0 至 10.5.1

•     10.4.0 至 10.4.1

•     10.3.0 至 10.3.19 (LTS)

•     10.2.0 至 10.2.1

•     10.1.1 至 10.1.2

•     10.0.0 至 10.0.1

•     5.17.0 至 5.17.5

•     5.16.0 至 5.16.1

 

建議修補版本

•     11.3.5 至 11.3.6 (LTS) 建議優先升級(僅 Data Center 版)

•     10.3.20 至 10.3.21 (LTS) 僅 Data Center 版

 

漏洞明細

CVE ID

漏洞類型

CVSS

嚴重性

建議修補版本

CVE-2026-22732

安全標頭遺漏(Security Headers Omission)

第三方套件漏洞(Atlassian 評估為非關鍵風險)

9.1

Critical

CVE-2026-29062

拒絕服務攻擊(DoS)

jackson-core 第三方套件漏洞

8.7

High

CVE-2026-31802

檔案包含漏洞(File Inclusion)

Jira 服務管理資料中心原生漏洞

8.2

High

CVE-2026-29786

檔案包含漏洞(File Inclusion)

Jira 服務管理資料中心原生漏洞

8.2

High

CVE-2026-22029

DOM 型跨網站腳本攻擊(XSS)

@remix-run/router 第三方套件漏洞

8.0

High

CVE-2026-25639

拒絕服務攻擊(DoS)

axios 第三方套件漏洞

7.5

High

CVE-2026-33750

拒絕服務攻擊(DoS)

Jira 服務管理資料中心原生漏洞

7.5

High

CVE-2026-34483

不當編碼(Improper Encoding)

Apache Tomcat (tomcat-catalina) 第三方套件漏洞

7.5

High

CVE-2026-26960

檔案包含漏洞(File Inclusion)

Jira 服務管理資料中心原生漏洞

7.1

High

 重要漏洞說明

【Critical】 CVE-2026-22732 CVSS 9.1 安全標頭遺漏(Security Headers Omission)

說明:第三方套件漏洞,Atlassian 應用情境評估為非關鍵風險

【High】 CVE-2026-29062 CVSS 8.7 拒絕服務攻擊(DoS)

說明:jackson-core 第三方套件漏洞

【High】 CVE-2026-31802 CVSS 8.2 檔案包含漏洞(File Inclusion)

說明:Jira 服務管理資料中心原生漏洞

 

修復建議彙整

以下為各受影響產品之建議最低修補版本,請優先考慮升級至標示「建議優先升級」之版本:

產品

建議最低修補版本

說明

Bamboo Data Center and Server

12.1.7 (LTS)

建議優先升級(僅 Data Center 版)

10.2.19 (LTS)

僅 Data Center 版

9.6.26 (LTS)

僅 Data Center 版

Bitbucket Data Center and Server

10.2.2 至 10.2.3 (LTS)

建議優先升級(僅 Data Center 版)

9.4.19 至 9.4.20 (LTS)

僅 Data Center 版

Confluence Data Center and Server

10.2.11 (LTS)

建議優先升級(僅 Data Center 版)

9.2.20 (LTS)

僅 Data Center 版

Fisheye / Crucible

4.9.10

僅 Data Center 版

Jira Data Center and Server

11.3.5 至 11.3.6 (LTS)

建議優先升級(僅 Data Center 版)

10.3.20 至 10.3.21 (LTS)

僅 Data Center 版

9.12.35 (LTS)

僅 Data Center 版

Jira Service Management Data Center and Server

11.3.5 至 11.3.6 (LTS)

建議優先升級(僅 Data Center 版)

10.3.20 至 10.3.21 (LTS)

僅 Data Center 版


Atlassian 的應對措施

本次的漏洞被原廠定位成高危與部分第三方相依套件之嚴重等級風險,建議所有低於上述「修補版本」之版本均應立即進行升級動作。

建議用戶保持其產品的最新版本,以確保獲得最新的安全修復與改進;未列於上方修復清單之相關版本,可能是因為該版本已非屬於 LTS 版本,建議仍應升級至當前建議之修復版本。


Atlassian Cloud影響狀況

使用 Atlassian Cloud 產品的用戶無需擔心此漏洞影響。Atlassian 的 SaaS 服務具備高度的安全防護機制,並持續進行安全強化、修復漏洞與防護機制更新,以確保您的資料安全。


|總結

若貴司當前的 Atlassian 環境,落在公告所涵蓋的漏洞範圍內,可能導致:

  • 系統資料外洩或權限被濫用

  • 升級過程中功能異常或資料流失

  • 長期運行效能降低與維護成本增加

  • 駭客破解導致公司資產損失


Linktech 深耕 Atlassian 系列解決方案,並同時覆蓋 資訊安全檢測 與 系統升級支援

🔍 全環境盤點與資安檢測:升級前進行完整漏洞掃描與系統健康檢查。

🔒 安全強化:針對 Atlassian 產品提供修復建議與最佳安全設定。

⚙️ 專業升級服務:確保 Atlassian Data Center 系列產品升級後功能正常、資料完整不流失。

🤝 長期維運顧問:協助企業保持持續更新,降低資安與營運風險。


若您的 Atlassian 環境正受此次公告影響,建議立即:

  1. 確認漏洞範圍

  2. 評估升級需求

  3. 與 Linktech 專業團隊聯繫


Linktech 專業顧問將協助您完成 安全檢測、升級計畫與後續維運,確保系統安全無虞。請立即聯繫獲取完整安全升級方案。


Linktech 團隊洽詢方式:

留言

bottom of page